Chrome: Google schließt zwei aktiv ausgenutzte Zero-Day-Lücken

Google hat zwei kritische Sicherheitslücken im Chrome-Browser geschlossen. Beide Zero-Day-Schwachstellen werden bereits aktiv von Angreifern ausgenutzt. Das Unternehmen verteilte die Patches in einem zweistufigen Notfall-Update am Wochenende.

Was steckt hinter den kritischen Lücken?

Die beiden Schwachstellen tragen die Kennungen CVE-2026-3910 und CVE-2026-3909. Beide werden mit dem hohen CVSS-Wert 8.8 eingestuft. Die erste Lücke sitzt in der V8-JavaScript-Engine, dem Herzstück von Chrome. Angreifer können sie nutzen, um Schadcode in der eigentlich abgeschotteten Browser-Sandbox auszuführen.

Da Browser auf Mobilgeräten oft die zentrale Schnittstelle für sensible Anwendungen sind, sollten Android-Nutzer jetzt besonders wachsam sein. Wie Sie Ihr Smartphone mit einfachen Schritten gegen Datendiebe und Schadsoftware absichern, erfahren Sie in diesem kostenlosen Ratgeber. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Die zweite Schwachstelle betrifft die Skia-Grafikbibliothek. Hier handelt es sich um einen "Out-of-Bounds Write"-Fehler. Er ermöglicht es, den Browser zum Absturz zu bringen oder sogar die Kontrolle über das System zu erlangen. Beide Angriffe erfolgen über manipulierte Webseiten.

Behörden schlagen Alarm

Die aktive Ausnutzung hat internationale Cybersicherheitsbehörden auf den Plan gerufen. Die US-Behörde CISA nahm beide Lücken in ihren Katalog für bekannte, ausgenutzte Schwachstellen auf. Für alle US-Bundesbehörden ist die Installation der Patches jetzt bindend vorgeschrieben – sie müssen bis zum 27. März nachziehen.

Der zweistufige Rollout der Updates sorgte für zusätzliche Verwirrung. Zuerst erschien nur der Patch für die V8-Lücke. Der Fix für die kritischere Skia-Schwachstelle folgte erst zwei Tage später.

So schützen Sie sich sofort

Die einzige wirksame Maßnahme: Chrome sofort aktualisieren. Die sichere Version für Desktop-Systeme ist 146.0.7680.80. Auf Android muss Version 146.0.76380.119 installiert sein. iOS-Nutzer sind nicht betroffen, da Apple dort die eigene WebKit-Engine vorschreibt.

Experten raten, das Update nicht dem automatischen Zyklus zu überlassen. Starten Sie Chrome manuell neu oder prüfen Sie unter "Hilfe" > "Über Google Chrome" auf Updates. In Unternehmen sollten Administratoren die Installation über Gruppenrichtlinien erzwingen.

Auch andere Browser betroffen

Die Gefahr beschränkt sich nicht nur auf Chrome. Da der Browser auf dem Open-Source-Projekt Chromium basiert, sind auch Microsoft Edge, Brave, Vivaldi und Opera potenziell betroffen. Deren Teams arbeiten bereits an der Übernahme der Google-Patches.

Es handelt sich bereits um die zweite und dritte Zero-Day-Lücke in Chrome in diesem Jahr. Erst im Februar schloss Google eine kritische Schwachstelle in der CSS-Engine. Die Häufung zeigt: Browser bleiben das primäre Einfallstor für Cyberangriffe.

Ein aktueller Browser-Patch ist nur der erste Schritt, um Ihre privaten Daten beim Online-Banking oder Shopping zuverlässig zu schützen. Welche weiteren Sicherheitslücken Android-Nutzer häufig unterschätzen, zeigt dieses kostenlose Sicherheitspaket mit praktischen Checklisten. Kostenlosen Android-Sicherheits-Leitfaden anfordern

Warum die Gefahr noch wächst

Cyberkriminelle werden die veröffentlichten Patches nun analysieren, um die Schwachstellen zu rekonstruieren. Dieses Reverse Engineering ermöglicht gezielte Angriffe auf noch nicht aktualisierte Systeme. Die Gefahr von Drive-by-Downloads auf kompromittierten Seiten steigt damit deutlich.

Die Komplexität moderner Browser – sie fungieren wie Betriebssysteme im Betriebssystem – bietet eine riesige Angriffsfläche. Hersteller investieren zwar in automatische Fehlererkennung. Doch die Wachsamkeit der Nutzer bleibt der entscheidende Faktor.

boerse | 68696735 |