Google hat für seinen Webbrowser Chrome ein Sicherheitsupdate ausgeliefert, das zwei hochgradig kritische Schwachstellen beseitigt. Beide werden dem Unternehmen zufolge bereits in freier Wildbahn ausgenutzt.

Die erste Lücke betrifft die 2D-Grafikbibliothek Skia und wird unter der Kennung CVE-2026-3909 geführt. Es handelt sich um einen Out-of-bounds-Write-Fehler, bei dem über die vorgesehenen Speichergrenzen hinaus geschrieben werden kann. Die zweite Schwachstelle (CVE-2026-3910) steckt in der JavaScript- und WebAssembly-Engine V8 und beruht auf einer fehlerhaften Implementierung. Sie kann laut Google zu einem Speicherzugriff außerhalb der zulässigen Grenzen oder zur Codeausführung führen.

Weitere technische Einzelheiten zu den beiden Fehlern machte Google nicht öffentlich. Das Unternehmen bestätigte jedoch ausdrücklich, dass für beide Schwachstellen Exploits existieren. Die Korrekturen sind in den Chrome-Versionen 146.0.7680.75/76 für Windows und Apple macOS sowie 146.0.7680.75 für Linux enthalten.

Die beiden Chrome-Fehler sind Teil einer wöchentlichen Schwachstellen-Übersicht, die jene Lücken hervorhebt, die als besonders dringend gelten – weil sie als hochgradig kritisch eingestuft sind, weit verbreitete Software betreffen oder bereits Aufmerksamkeit in der Sicherheits-Community auf sich ziehen. Neben Google Chrome (auch CVE-2026-3913) werden darin unter anderem Veeam Backup & Replication, die Automatisierungsplattform n8n, Microsoft Windows, SAP, OpenSSH, PostgreSQL, Cisco IOS XR, Cloudflare Pingora, HPE Aruba Networking AOS-CX, Apache ZooKeeper sowie Palo Alto Networks Cortex XDR Broker VM und der Microsoft Authenticator für Android und iOS aufgeführt.

Die Übersicht weist darauf hin, dass das Zeitfenster zwischen der Veröffentlichung einer Schwachstelle und ihrer Ausnutzung immer kürzer wird, und empfiehlt, die als dringend markierten Lücken zuerst zu prüfen und die jeweils zutreffenden Updates einzuspielen.