Google schließt zwei attackierte Codeschmuggel-Lücken in Chrome

Google hat ein Notfallupdate für den Webbrowser Chrome veröffentlicht. Mit diesem Update werden zwei kritische Sicherheitslücken geschlossen, die bereits von Angreifern ausgenutzt werden.

Eine der beiden Sicherheitslücken betrifft die Grafikbibliothek Skia von Chrome. Beim Rendern von präparierten Webseiten kann sie auf Speicherbereiche außerhalb zugreifen und so Speicherinhalte schreiben (CVE-2026-3909, kein CVSS-Wert, Google stuft das Risiko als „hoch“ ein). Die andere Sicherheitslücke befindet sich in der JavaScript Engine V8. Dadurch können Angreifer Implementierungen durch manipulierte Webseiten einen beliebigen Code in die Sandbox schreiben (CVE-2026-3910, kein CVSS-Wert, Risiko laut Google „hoch“). Google gibt keine Angaben darüber, welche Art und wie umfangreich diese Angriffe sind.

Die Versionen Chrome 146.0.7680.115 für Android, 146.0.7680.75 für Linux und 146.0.7680.75/76 für macOS und Windows schließen die bisher im Internet ausgenutzten Sicherheitslücken.