Google hat ein außerplanmäßiges Sicherheitsupdate für seinen Chrome-Browser veröffentlicht, das zwei kritische Schwachstellen schließt. Diese Sicherheitslücken werden bereits aktiv von Angreifern ausgenutzt. Nutzern wird dringend empfohlen, ihren Browser umgehend zu aktualisieren, um sich vor potenziellen Angriffen zu schützen.
Wichtige Informationen
- Google hat ein Notfall-Update für den Chrome-Browser veröffentlicht.
- Es behebt zwei „Zero-Day“-Schwachstellen, die bereits für Angriffe genutzt werden.
- Die Lücken betreffen zentrale Komponenten wie die Grafik-Engine und die JavaScript-Engine.
- Nutzer müssen den Browser neu starten, um den Schutz zu aktivieren.
Zwei kritische Lücken unter aktiver Ausnutzung
Google hat die Veröffentlichung eines dringenden Sicherheitsupdates für Chrome bestätigt, das sich mit den Schwachstellen CVE-2026-3909 und CVE-2026-3910 befasst. Beide wurden als „Zero-Day“-Lücken eingestuft. Dieser Begriff bedeutet, dass die Sicherheitslücken den Angreifern bereits bekannt waren und ausgenutzt wurden, bevor ein offizieller Patch zur Verfügung stand.
Die Tatsache, dass Google nur 48 Stunden nach einem regulären Sicherheitsupdate eine weitere, außerplanmäßige Aktualisierung herausgibt, unterstreicht die Ernsthaftigkeit der Bedrohung. Normalerweise werden solche Updates in einem wöchentlichen oder zweiwöchentlichen Rhythmus verteilt.
Was ist eine Zero-Day-Schwachstelle?
Eine Zero-Day-Schwachstelle ist eine Sicherheitslücke in einer Software, die dem Hersteller noch nicht bekannt ist. Angreifer, die eine solche Lücke entdecken, können sie ausnutzen, um Systeme zu kompromittieren, bevor ein Schutzmechanismus oder ein Update entwickelt werden kann. Für Software-Entwickler beginnt damit ein Wettlauf gegen die Zeit, um die Lücke zu schließen.
Die Schwachstellen im Detail
Obwohl Google die technischen Details der Schwachstellen zurückhält, um die meisten Nutzer vor weiteren Angriffen zu schützen, bis das Update flächendeckend verteilt ist, sind einige grundlegende Informationen bekannt. Beide Lücken haben eine hohe Bedrohungsstufe und betreffen Kernfunktionen des Browsers.
CVE-2026-3909: Angriff auf die Grafik-Engine
Die erste Schwachstelle, CVE-2026-3909, befindet sich in der Grafikbibliothek „Skia“. Diese Komponente ist für die Darstellung von Webinhalten und der Benutzeroberfläche von Chrome verantwortlich. Es handelt sich um eine sogenannte „Out-of-Bounds“-Speicherlücke.
Ein Angreifer könnte diese Lücke ausnutzen, um aus der Ferne schädlichen Code auf dem Computer des Opfers auszuführen. Ein Besuch auf einer speziell präparierten Webseite könnte bereits ausreichen, um einen Angriff auszulösen, ohne dass der Nutzer eine weitere Aktion durchführen muss.
CVE-2026-3910: Die JavaScript-Engine im Visier
Die zweite Lücke, CVE-2026-3910, betrifft die V8-Komponente, die JavaScript-Engine von Chrome. Diese ist für die Ausführung von Code auf fast jeder modernen Webseite zuständig und daher ein beliebtes Ziel für Hacker. Die Schwachstelle wird als „unangemessene Implementierung“ beschrieben.
Auch hier könnte ein Angreifer durch eine manipulierte HTML-Seite beliebigen Code innerhalb der geschützten Umgebung des Browsers, der sogenannten Sandbox, ausführen. Dies könnte der erste Schritt sein, um weitere Angriffe auf das System zu starten.
Googles Kampf gegen Sicherheitslücken
Obwohl die Entdeckung von Schwachstellen beunruhigend sein kann, zeigt sie auch die Wirksamkeit der Sicherheitsmaßnahmen von Google. Beide kritischen Lücken wurden diesmal von internen Google-Sicherheitsteams entdeckt. Oftmals stammen solche Meldungen jedoch von externen Forschern, die am „Vulnerability Reward Program“ (VRP) von Google teilnehmen.
Millionen für mehr Sicherheit
Googles VRP, das im letzten Jahr sein 15-jähriges Bestehen feierte, hat sich als äußerst erfolgreich erwiesen. Im Jahr 2025 zahlte das Unternehmen über 17 Millionen US-Dollar an Sicherheitsforscher aus. Seit Beginn des Programms wurden Prämien in Höhe von insgesamt 81,6 Millionen US-Dollar ausgeschüttet. Allein für die Meldung von Chrome-Schwachstellen erhielten über 100 Forscher im Jahr 2025 zusammen mehr als 3,7 Millionen US-Dollar.
Diese hohen Summen motivieren Experten weltweit, aktiv nach Sicherheitslücken zu suchen und sie verantwortungsvoll an Google zu melden, anstatt sie im Verborgenen auszunutzen oder zu verkaufen. Dies trägt maßgeblich dazu bei, den Browser für Milliarden von Nutzern sicherer zu machen.
„Unser Ziel bleibt es, neuen Bedrohungen einen Schritt voraus zu sein, uns an sich entwickelnde Technologien anzupassen und die Sicherheitslage der Produkte und Dienste von Google weiter zu stärken“, heißt es in einem Bericht von Google zum VRP.
Anleitung: So aktualisieren Sie Google Chrome sofort
Google hat bereits damit begonnen, das Update automatisch an alle Nutzer zu verteilen. Dieser Prozess kann jedoch einige Tage oder sogar Wochen dauern. Da die Schwachstellen aktiv ausgenutzt werden, sollten Sie nicht warten, sondern die Aktualisierung manuell anstoßen.
Ein entscheidender Schritt wird oft übersehen: Nach dem Download des Updates muss der Browser neu gestartet werden, damit der Schutz vollständig aktiviert wird. Viele Nutzer schließen ihren Browser selten, was sie unnötig lange angreifbar macht.
Schritt-für-Schritt-Anleitung:
- Öffnen Sie Google Chrome auf Ihrem Computer.
- Klicken Sie oben rechts auf das Drei-Punkte-Menü (⋮).
- Navigieren Sie zum Menüpunkt Hilfe und klicken Sie dann auf Über Google Chrome.
- Chrome sucht nun automatisch nach verfügbaren Updates. Wenn eine neue Version gefunden wird, beginnt der Download sofort.
- Nach Abschluss des Downloads erscheint eine Schaltfläche mit der Aufschrift „Neu starten“. Klicken Sie darauf, um Chrome neu zu starten und die Installation abzuschließen.
Nach dem Neustart sollte die angezeigte Versionsnummer 146.0.7680.75 oder höher für Windows, Mac und Linux lauten. Wenn diese Version angezeigt wird, ist Ihr Browser wieder geschützt.
