Google hat ein außerplanmäßiges Sicherheitsupdate für Chrome veröffentlicht, das zwei Zero-Day-Sicherheitslücken mit hohem Schweregrad behebt.
Beide Sicherheitslücken können aus der Ferne ausgenutzt werden und erfordern lediglich, dass ein Nutzer eine bösartige Website besucht. Da die Komplexität des Angriffs gering ist, stellen die Sicherheitslücken in der Praxis ein erhöhtes Risiko dar.
So aktualisieren Sie Chrome
Die aktuellen Versionsnummern lauten146.0.7680.75/76 für Windows macOS sowie146.0.7680.75 für Linux. Wenn Ihr Chrome die Version146.0.7680.75 oder höherhat,sind Sie vor diesen Sicherheitslücken geschützt.
Am einfachsten bleiben Sie auf dem neuesten Stand, wenn Sie Chrome automatische Aktualisierung erlauben. Es kann jedoch zu Verzögerungen bei der Aktualisierung kommen, wenn Sie Ihren Browser selten schließen oder wenn der Aktualisierungsvorgang durch etwas gestört wird.
So führen Sie die Aktualisierung manuell durch:
- Klicken Sie auf das Menü„Mehr“(drei Punkte)
- Gehe zu„Einstellungen“ >„Über Chrome“.
- Wenn ein Update verfügbar ist, Chrome dem Herunterladen.
- Starten Sie Chrome neu, Chrome das Update abzuschließen, und Sie sind vor diesen Sicherheitslücken geschützt.
Eine Schritt-für-Schritt-Anleitung finden Sie auch in unserem Leitfadenzur Aktualisierung von Chrome allen Betriebssystemen, der auch Anweisungen zum Überprüfen Ihrer Versionsnummer enthält.
Technische Einzelheiten
Google teilt mit, dass es beide Fehler intern entdeckt und behoben hat, wobei die Patches innerhalb von etwa zwei Tagen nach der Meldung bereitgestellt wurden.
CVE-2026-3909 ist eine Sicherheitslücke durch einen Schreibzugriff außerhalb des zulässigen Bereichs in Skia, der 2D-Grafikbibliothek Chrome, die zum Rendern von Webinhalten und UI-Elementen verwendet wird. Ein Angreifer kann einen Nutzer auf eine bösartige Webseite locken, die den Fehler auslöst, den Speicher beschädigt und möglicherweise die Ausführung von Code im Browserkontext ermöglicht. Skia ist eine Open-Source-2D-Grafikbibliothek, die nicht nur in Google Chrome auch in vielen anderen Produkten zum Einsatz kommt.
CVE-2026-3910 ist ein Implementierungsfehler in der JavaScript- und WebAssembly-Engine V8. Eine speziell gestaltete HTML-Seite könnte es einem Angreifer ermöglichen, aus der Ferne beliebigen Code innerhalb der V8-Sandbox auszuführen. V8 ist die von Google entwickelte Engine zur Verarbeitung von JavaScript und weist eine überdurchschnittlich hohe Anzahl an Fehlern auf.
Die Skia- und V8-Komponenten Chromesind besonders gefährdet, da sie direkt zwischen nicht vertrauenswürdigen Webinhalten und dem zugrunde liegenden System liegen.
In Skia ist es möglich, einen Schreibzugriff außerhalb des zulässigen Bereichs mit anderen Fehlern zu verketten, um die Sandbox des Renderers zu umgehen, während Implementierungsfehler in V8 häufig in Exploit-Ketten auftauchen, die von gezielten Angreifern und Anbietern von Spionagesoftware genutzt werden.
Wie man sicher bleibt
Um Ihr Gerät zu schützen, sollten Sie Chrome schnell wie möglich aktualisieren. Hier sind einige weitere Tipps, wie Sie vermeiden können, Opfer eines Angriffs zu werden, noch bevor eine Zero-Day-Sicherheitslücke behoben wurde:
- Klicken Sie nicht auf unaufgeforderte Links in E-Mails, Nachrichten, unbekannten Websites oder sozialen Medien.
- Aktivieren Sie automatische Updates und starten Sie das Gerät regelmäßig neu. Viele Benutzer lassen ihren Browser tagelang geöffnet, was den Schutz verzögert, selbst wenn das Update im Hintergrund heruntergeladen wird.
- Verwenden Sie eine aktuelleAnti-Malware-Lösungmit Echtzeit-Schutz, die eine Webschutz-Komponente enthält.
Nutzer anderer Chromium-basierter Browser können damit rechnen, bald ein ähnliches Update zu erhalten.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.
