Mit einem außerplanmäßigen Update für Chrome 146 schließt Google zwei Zero-Day-Schwachstellen, für die nach Angaben des Unternehmens bereits Exploits in freier Wildbahn existieren. „Google ist bekannt, dass Exploits für CVE-2026-3909 und CVE-2026-3910 in freier Wildbahn existieren“, heißt es in der Sicherheitsmeldung des Konzerns.

Beide Lücken sind als hochgradig eingestuft, tragen einen CVSS-Wert von 8.8 und wurden am 10. März von Google selbst gefunden. CVE-2026-3909 ist ein Schreibzugriff außerhalb der vorgesehenen Speichergrenzen (Out-of-bounds Write) in der Grafikbibliothek Skia. Über manipulierte HTML-Seiten lässt sich damit der Speicher beschädigen, was zur Ausführung beliebigen Codes oder zu Abstürzen führen kann.

CVE-2026-3910 ist eine fehlerhafte Implementierung in der JavaScript-Engine V8, die es Angreifern erlaubt, über präparierte HTML-Seiten beliebigen Code auszuführen. V8-Schwachstellen werden häufig bei Angriffen zum Ausbruch aus der Sandbox genutzt.

Nähere Details zur Ausnutzung der beiden Lücken nennt Google nicht. Das Unternehmen weist jedoch darauf hin, dass von Google entdeckte Chrome-Fehler oft von kommerziellen Spyware-Anbietern angegriffen werden.

Behoben wurden beide Schwachstellen in den Chrome-Versionen 146.0.7680.75/76 für Windows und macOS sowie in Version 146.0.7680.75 für Linux. Auch die Android-Ausgabe von Chrome erhielt die Korrekturen mit Version 146.0.76380.115.

Das Notfall-Update erschien zwei Tage nachdem Chrome 146 in den stabilen Kanal überführt worden war. Jene Version hatte bereits 29 Schwachstellen geschlossen, darunter einen kritischen Fehler in WebML sowie hochgradige Lücken in WebML, Web Speech, Agents, WebMCP, Extensions, TextEncoding, MediaStream, WebMIDI und WindowDialog. Hinzu kamen mehr als ein Dutzend Schwachstellen mittleren und niedrigen Schweregrads.

Für die gemeldeten Fehler zahlte Google nach eigenen Angaben rund 210.000 US-Dollar an Prämien. Der tatsächliche Betrag dürfte deutlich höher liegen, da das Unternehmen die Summen für zehn Schwachstellen nicht offenlegte. Der Sicherheitsforscher Tobias Wienand erhielt 76.000 US-Dollar für die Meldung zweier WebML-Fehler. Zwei weitere Forscher bekamen 43.000 beziehungsweise 36.000 US-Dollar für hochgradige Lücken in WebML und Web Speech.