**Google** hat Sicherheitsupdates für seinen Chrome-Webbrowser veröffentlicht, um zwei hochriskante Schwachstellen zu beheben, die nach Angaben des Unternehmens bereits in freier Wildbahn ausgenutzt wurden. ### Zero-Day-Schwachstellen behoben Die Updates beheben die folgenden Schwachstellen: * **CVE-2026-3909** (CVSS-Score: 8,8) – Eine Out-of-Bounds-Write-Schwachstelle in der 2D-Grafikbibliothek **Skia**. Diese Lücke ermöglicht es einem entfernten Angreifer, über eine präparierte HTML-Seite auf Speicherbereiche außerhalb der Grenzen zuzugreifen. * **CVE-2026-3910** (CVSS-Score: 8,8) – Eine fehlerhafte Implementierungsschwachstelle in der **V8** JavaScript- und WebAssembly-Engine. Dies ermöglicht es einem entfernten Angreifer, über eine präparierte HTML-Seite beliebigen Code innerhalb einer Sandbox auszuführen. Beide Schwachstellen wurden am 10. März 2026 intern von **Google** entdeckt und gemeldet. Details zur aktiven Ausnutzung bleiben spärlich, um weiteren Missbrauch zu verhindern. "**Google** ist sich bewusst, dass Exploits für **CVE-2026-3909** und **CVE-2026-3910** in freier Wildbahn existieren", teilte das Unternehmen in seiner offiziellen Ankündigung mit. ### Eine Reihe von Zero-Day-Exploits Dieses Update kommt kurz nachdem **Google** **CVE-2026-2441** behoben hat, einen hochriskanten Use-After-Free-Bug in Chromes CSS-Komponente, der ebenfalls als Zero-Day ausgenutzt wurde. Dies ist der dritte aktiv ausgenutzte Chrome-Zero-Day, den **Google** seit Jahresbeginn behoben hat. ### Chrome sofort aktualisieren Benutzern wird dringend empfohlen, ihren Chrome-Browser auf die Versionen 146.0.7680.75/76 für Windows und Apple macOS sowie 146.0.7680.75 für Linux zu aktualisieren. Um zu aktualisieren, navigieren Sie zu Mehr > Hilfe > Über Google Chrome und wählen Sie Neu starten. Benutzer anderer Chromium-basierter Browser, darunter **Microsoft Edge**, **Brave**, **Opera** und **Vivaldi**, sollten die Korrekturen ebenfalls so bald wie möglich für ihre jeweiligen Browser anwenden. ### CISA fügt Schwachstellen zum KEV-Katalog hinzu Die U.S. **Cybersecurity and Infrastructure Security Agency (CISA)** hat beide **Google** Chrome-Schwachstellen in ihren Katalog bekannter ausgenutzter Schwachstellen (**KEV**) aufgenommen und damit Bundesbehörden der zivilen Exekutive (FCEB) verpflichtet, die Korrekturen bis zum 27. März 2026 anzuwenden.