CVE-2026-3910

Google hat in der Nacht zum Freitag ein Notfallupdate für Chrome herausgegeben. Es stopft zwei im Internet angegriffene Sicherheitslecks.

Zwei gefährliche Sicherheitslücken in Google Chrome werden aktiv ausgenutzt. Ein einfacher Webseitenbesuch reicht, um Schadcode einzuschleusen. ( Sicherheitslücke , Google )

Google has released emergency security updates to patch two high-severity Chrome vulnerabilities exploited in zero-day attacks. [...]

Google on Thursday released security updates for its Chrome web browser to address two high-severity vulnerabilities that it said have been exploited in the wild. The list of vulnerabilities is as follows - CVE-2026-3909 (CVSS score: 8.8) - An out-of-bounds write vulnerability in the Skia 2D graphics library that allows a remote attacker to perform out-of-bounds memory access via a crafted HTML

Skia graphics lib and V8 JavaScript engine brings browser's tally of actively exploited bugs to three in 2026 Google has pushed out an emergency Chrome update to fix two previously unknown vulnerabilities that attackers were already exploiting before the patches landed.…

In den neuen Chrome-Versionen 146.0.7680.75/76 für Windows und macOS sowie 146.0.7680.75 für Linux haben die Entwickler zwei Sicherheitslücken geschlossen. Beide Lücken werden laut Google bereits für Angriffe ausgenutzt. Die Hersteller anderer Chromium-basierter Browser dürften rasch nachziehen. Im Chrome Release Blog führt Srinivas Sista die beiden beseitigten Sicherheitslücken auf. Sie wurden intern am 10. Februar entdeckt und sind (unabhängig von realen Attacken) als hohes Risiko eingestuft. In der Grafikbibliothek Skia ist mit CVE-2026-3909 ein Fehler entdeckt worden, durch den ein Schreibzugriff auf Speicheradressen außerhalb der Grenzen eines vordefinierten Puffers möglich ist („out of bounds write“). Die zweite 0-Day-Lücke CVE-2026-3910 steckt in der Javascript-Engine V8. Sie ist als „unangemessene Umsetzung“ („inappropriate implementation“) beschrieben. Was da nicht richtig umgesetzt wurde und warum das so ein Problem ist, bleibt allerdings unklar. Auch über Art und Umfang der Angriffe, bei denen diese Schwachstellen ausgenutzt werden, schweigt sich Google aus. 1. Update 14. März – Google bessert nach Am 13. März hat Google nachgelegt und ein Update auf Chrome 146.0.7680.80 für Windows, macOS und Linux sowie Chrome 146.0.76380.119 für Android veröffentlicht. Srinivas Sista erklärt dazu, der Fix für die Skia-Schwachstelle CVE-2026-3909 sei nun doch nicht in der Chrome-Version 146.0.7680.76 vom 12. März, sondern erst in diesem neuen Update enthalten. Das könnte man so interpretieren, dass der erste Fix für die Skia-Lücke nicht vollständig war und nachgebessert werden musste. Mit Chrome 146.0.7680.80 sollte nun alles wieder gut sein – neue Schwachstellen oder gar 0-Day-Lücken sind allem Anschein nach nicht hinzugekommen. Wie die Hersteller anderer Chromium-basierter Browser auf die 0-Day-Lücken reagiert haben, lesen Sie weiter unten . [Update Teil 1 Ende] ▶Die neuesten Sicherheits-Updates Erst zwei Tage zuvor, am 10. März, hatte Google die neue Hauptversion Chrome 146 freigegeben und damit 29 Sicherheitslücken geschlossen. In aller Regel aktualisiert sich Chrome automatisch, wenn eine neue Version verfügbar ist. Mit dem Menü-Eintrag » Hilfe » Über Google Chrome können Sie die Update-Prüfung manuell anstoßen. Google hat auch Chrome für Android 146.0.76380.115 bereitgestellt. In der Android-Version sind die gleichen Schwachstellen beseitigt wie in den Desktop-Ausgaben. Der Extended Stable Channel für Windows und macOS enthält nun die Chromium-Version 146.0.7680.76. Die Freigabe der Chrome-Version 147 ist für Anfang April vorgesehen. Tipp: Unabhängig davon, dass Sie Ihren Browser stets aktuell halten, sollten Sie die Sicherheit Ihres PCs zusätzlich mit geeigneter Antivirus-Software verbessern. Gute Antivirus-Lösungen stellen wir in „ Die besten Antivirus-Programme 2025 im Test: So schützen Sie Ihren Windows-PC “ vor. Falls Sie großen Wert auf anonymes Surfen legen, sind wiederum gute VPN-Programme einen Blick wert. Andere Chromium-basierte Browser Die Hersteller anderer auf Chromium basierender Browser sind jetzt wieder gefordert, mit Updates nachzuziehen. Brave 1.88.127 vom 11. März enthält Chromium 146.0.7680.71 und ist damit zumindest auf dem Sicherheitsstand vor dem aktuellen Notfall-Update. Auch Vivaldi ist mit Version 7.8.3925.79 vom 12. März auf diesem Stand, setzt aber noch auf Chromium 144 mit zusätzlichen Fixes aus Chromium 146. Microsoft Edge ist hingegen noch auf dem Sicherheitsstand der letzten Woche. ▶Mozilla beerdigt Firefox für ältere Betriebssysteme – doch nicht! Opera hat seine Browser-Version 128 auf Basis von Chromium 144 zwar mehrmals aktualisiert, es jedoch leider stets unterlassen, Chromium auf den neuesten Stand zu bringen. Damit haben die Norweger die Chance ungenutzt verstreichen lassen, nach Jahren wieder einmal eine Opera-Version anbieten zu können, in der alle bekannten Schwachstellen der Chromium-Basis behoben wären. Google liefert im Extended Stable Channel für Chromium nunmehr aktuelle Updates für Chromium 146, bis Ende April Chrome/Chromium 148 erscheint. 2. Update 14. März – Brave, Edge und Vivaldi sind abgesichert Vivaldi, Brave und Microsoft haben schnell reagiert und Updates bereitgestellt, um die 0-Day-Lücken zu schließen. Vivaldi hat für seine Version 7.8.3925.81 die nötigen Korrekturen aus Chromium 146 nach Chromium 144 portiert. Das bedeutet, die neu entdeckten Schwachstellen stecken schon länger im Chromium-Code. Brave hatte den Wechsel auf Chromium 146 bereits Mitte der Woche vollzogen, musste deshalb lediglich die neuere, abgesicherte Chromium-Version einwechseln. Opera hat zwar ein Update bereitgestellt, jedoch bislang das Changelog nicht aktualisiert. Es bleibt also unklar, was das Update bringt. Die Chromium-Version ist jedenfalls gleich geblieben. Microsoft hatte offenbar ohnehin vor, den Wechsel auf Chromium 146 (wie so oft) erst zum Wochenende vorzunehmen. Der durch die 0-Day-Lücken entstandene Mehraufwand sollte sich also in Grenzen gehalten haben – zumal Microsoft relativ früh informiert gewesen sein dürfte. In Edge 146.0.3856.59 steckt mit Chromium 146.0.7680.76 die gleiche Basis wie in Chrome und Brave. In Edge für Android hat Microsoft noch eine selbst eingemachte Schwachstelle ( CVE-2026-0385 ) mit niedriger Risikoeinstufung behoben. Warum die in der englischen Fassung des Sicherheitsberichts als Spoofing angegebene Auswirkung dieser Sicherheitslücke in der deutschen Fassung (nicht zum ersten Mal) als „Spooning“ (=löffeln) bezeichnet wird, könnte jemand bei Microsoft vielleicht eines Tages herausfinden. Womöglich steht die Übersetzer-„KI“ auf Cookie Dough – von anderen denkbaren Vorlieben schweigen wir hier. 🤭 Wie sicher sind die Browser gerade?! Googles nachgeliefertes Update auf Chrome 146.0.7680.80 wirft zusammen mit der nur bedingt erhellenden Erklärung allerdings die Frage auf, wie sicher die anderen Chromium-basierten Browser nach der Installation ihrer bislang bereitstehenden Updates sind. An sich können sie nur gegen die Javascript-Lücke CVE-2026-3910 abgesichert sein, denn der Patch für die Skia-Lücke CVE-2026-3909 ist laut Google in Chromium 146.0.7680.76 doch nicht enthalten (oder nicht vollständig wirksam?). Es ist auch nicht bekannt, ob die beiden 0-Day-Lücken gemeinsam für Angriffe genutzt werden oder unabhängig voneinander zum Einsatz kommen. So bleibt die Empfehlung, die verfügbaren Updates zeitnah zu installieren und auf umfassendere Informationen zu warten. Wir werden Sie auf dem Laufenden halten. Update 16. März – neue Updates für Brave und Edge sowie Zusammenfassung Brave und Microsoft haben ihre Browser am 14. März noch einmal aktualisiert. Bei Vivaldi war dies nicht erforderlich. Fassen wir zusammen, was bislang geschehen ist: Google hat am 12. März ein Notfall-Update auf 146.0.7680.76 bereitgestellt, um die am 10. März entdeckten 0-Day-Lücken CVE-2026-3909 (Skia) und CVE-2026-3910 (V8) zu schließen. Dabei haben die Entwickler gepatzt und den Fix für CVE-2026-3909 nicht (oder nicht vollständig) eingebaut. Deshalb musste Google mit dem Update auf Chrome 146.0.7680.80 am 13. März nachbessern. Dem sind Brave mit dem Update auf v1.88.132 und Microsoft mit dem Update auf Edge 146.0.3856.62 am 14. März gefolgt. Bei der Portierung der Fixes auf Chromium 144 haben die Chromium-Entwickler dagegen gleich alles richtig gemacht: Beide sind vollständig eingebaut worden. Gut für Vivaldi, denn sie mussten nicht nachbessern – ihre Version 7.8.3925.81 vom 13. März ist abgesichert. Das Vivaldi-Team hat dies allerdings doppelt und dreifach überprüft, um sich dessen sicher sein zu können. Spätestens jetzt wäre es auch für Opera an der Zeit, ihren Browser abzudichten – der Aufwand wäre minimal. Chromium-basierte Browser in der Übersicht: Browser Version Chromium-Version abgesichert? Google Chrome ↓ 146.0.7680.80 146.0.7680.80 🟢 Brave ↓ 1.88.132 146.0.7680.80 🟢 Microsoft Edge 146.0.3856.62 146.0.7680.80 🟢 Opera One ↓ 128.0.5807.77 144.0.7559.173 🔴 Vivaldi ↓ 7.8.3925.81 144.0.7559.246 * 🟢 Chromium-basierte Browser – Stand: 14.03.2026 * Enthält Sicherheitsverbesserungen aus Chromium 146