SchwachstellenCyberkriminalität

Google stopft zwei kritische Zero-Day-Lücken in Chrome 146

Google stopft zwei kritische Zero-Day-Lücken in Chrome 146
Zusammenfassung

Google hat am Donnerstag ein Notfall-Update für Chrome 146 veröffentlicht, das zwei Zero-Day-Sicherheitslücken schließt, die bereits aktiv von Angreifern ausgenutzt werden. Bei den beiden kritischen Schwachstellen handelt es sich um CVE-2026-3909, einen Speicher-Fehler in der Skia-Grafikbibliothek, und CVE-2026-3910, eine Implementierungsschwäche in der V8-JavaScript-Engine. Beide weisen einen CVSS-Score von 8,8 auf und ermöglichen es Angreifern, über manipulierte HTML-Seiten beliebigen Code auszuführen oder den Browser zum Absturz zu bringen. Besonders besorgniserregend ist die V8-Schwachstelle, da solche Fehler häufig für sogenannte Sandbox-Escape-Attacken missbraucht werden – ein Angriffsszenario, das auch von kommerziellen Spyware-Anbietern zielgerichtet ausgenutzt wird. Das Update wurde innerhalb von zwei Tagen nach der regulären Chrome-146-Veröffentlichung bereitgestellt und ist für Windows, macOS, Linux und Android verfügbar. Deutsche Nutzer und Unternehmen sollten das Update dringend einspielen, um sich vor aktiven Angriffsversuchen zu schützen. Insbesondere Behörden und Organisationen mit kritischen Infrastrukturen sollten die Aktualisierung zeitnah durchführen.

Bei CVE-2026-3909 handelt es sich um einen Out-of-Bounds-Schreibfehler in der Skia-Grafikbibliothek. Diese Schwachstelle kann über bösartige HTML-Seiten ausgelöst werden und führt zu Speicherbeschädigungen, was letztendlich zur Ausführung beliebigen Codes oder zu Abstürzen führen kann. Das zweite Problem, CVE-2026-3910, ist ein Implementierungsfehler in Googles V8-JavaScript-Engine, der es Angreifern ermöglicht, speziell präparierte HTML-Seiten zu erstellen und beliebigen Code auszuführen. Besonders problematisch ist die Tatsache, dass V8-Schwachstellen häufig bei Sandbox-Escape-Angriffen als Eingangspunkt dienen – also um die Sicherheitsmechanismen von Chrome zu umgehen.

Google hat bislang keine Details zur tatsächlichen Ausnutzung dieser Lücken offengelegt. Allerdings ist bekannt, dass Chrome-Fehler, die von Google entdeckt werden, regelmäßig von kommerziellen Spyware-Herstellern in ihren Arsenal aufgenommen werden. Dies deutet darauf hin, dass beide Sicherheitsmängel bereits durch professionelle Angreifer instrumentalisiert werden könnten.

Die Notfall-Patches wurden in Chrome-Version 146.0.7680.75/76 für Windows und macOS sowie 146.0.7680.75 für Linux veröffentlicht. Auch Chrome für Android (Version 146.0.76380.115) erhielt die entsprechenden Fixes. Das Notfall-Update kam nur zwei Tage nach der Veröffentlichung von Chrome 146 im stabilen Kanal, das ursprünglich bereits 29 Schwachstellen behoben hatte.

Das reguläre Chrome 146-Update beseitigte zusätzlich kritische Bugs in WebML sowie hochgefährliche Lücken in Web Speech, Agents, WebMCP, Extensions, TextEncoding, MediaStream, WebMIDI und WindowDialog. Hinzu kamen über ein Dutzend mittelschwere und unkritische Sicherheitslücken.

Google vergab für die Meldung dieser Fehler insgesamt etwa 210.000 US-Dollar an Sicherheitsforscher – eine Summe, die möglicherweise noch deutlich höher ausfällt, da der Konzern die Zahlungen für zehn weitere Schwachstellen nicht offengelegt hat. Der Sicherheitsforscher Tobias Wienand erhielt 76.000 Dollar für die Meldung zweier WebML-Probleme. Weitere 43.000 und 36.000 Dollar flossen an zwei weitere Forscher für hochgefährliche Fehler in WebML respektive Web Speech.

Deutsche Chrome-Nutzer sollten das Update schnellstmöglich einspielen, um sich vor aktiven Exploit-Kampagnen zu schützen.

Ähnliche Artikel