Mit einem außerplanmäßigen Update reagiert Google auf zwei Schwachstellen in Chrome, für die laut Hersteller bereits Exploits existieren. In der am Donnerstag veröffentlichten Sicherheitsmeldung heißt es, dem Unternehmen sei bekannt, dass Exploits für CVE-2026-3909 und CVE-2026-3910 in freier Wildbahn kursieren.
Die erste Lücke, CVE-2026-3909, beruht auf einem Out-of-Bounds-Write-Fehler in Skia. Die quelloffene 2D-Grafikbibliothek rendert Webinhalte und Oberflächenelemente; über die Schwachstelle lässt sich der Browser zum Absturz bringen oder potenziell Code ausführen. Die zweite Schwachstelle, CVE-2026-3910, betrifft die JavaScript- und WebAssembly-Engine V8 und wird als fehlerhafte Implementierung beschrieben.
Nach eigenen Angaben hat Google beide Fehler selbst gefunden und innerhalb von zwei Tagen nach der internen Meldung behoben. Die neuen Versionen für den Stable-Desktop-Kanal lauten 146.0.7680.75 für Windows, 146.0.7680.76 für macOS und 146.0.7680.75 für Linux.
Google weist darauf hin, dass das Update unter Umständen Tage oder Wochen brauche, um alle Nutzer zu erreichen. Beim Test durch BleepingComputer stand es jedoch sofort zur Verfügung. Wer nicht manuell aktualisieren möchte, kann Chrome die Updates automatisch prüfen und beim nächsten Start installieren lassen.
Nähere Angaben zu den beobachteten Angriffen machte Google nicht. Das Unternehmen verwies auf seine übliche Praxis, den Zugang zu Details und Verweisen so lange einzuschränken, bis die Mehrheit der Nutzer das Update installiert hat. Beschränkungen blieben zudem bestehen, wenn der Fehler in einer Drittanbieter-Bibliothek liege, von der auch andere Projekte abhängen, die noch keinen Patch bereitgestellt haben.
Es handelt sich um die zweite und dritte aktiv ausgenutzte Chrome-Zero-Day-Lücke seit Jahresbeginn 2026. Die erste, geführt als CVE-2026-2441, wurde Mitte Februar geschlossen und als Iterator-Invalidierungsfehler in CSSFontFeatureValuesMap beschrieben, Chromes Umsetzung der CSS-Schriftartmerkmale. Im vergangenen Jahr behob Google insgesamt acht in freier Wildbahn ausgenutzte Zero-Days, viele davon gemeldet von Googles Threat Analysis Group (TAG), die für das Aufspüren von Zero-Days in Spyware-Angriffen bekannt ist.
Ebenfalls am Donnerstag gab Google bekannt, im Jahr 2025 über 17 Millionen US-Dollar an 747 Sicherheitsforscher gezahlt zu haben, die Schwachstellen über das Vulnerability Reward Program (VRP) gemeldet hatten.
