Google hat Mitte März zwei aktiv ausgenutzte Zero-Days in Chrome geschlossen. Wichtig ist die Reihenfolge: Am 12. März erschien zuerst ein Notfall-Update auf Version 146.0.7680.75 für Windows und Linux sowie 146.0.7680.76 für macOS. Dieses Chrome Update schloss CVE-2026-3910 in der JavaScript-Engine V8. Einen Tag später folgte bereits Version 146.0.7680.80 für Windows, macOS und Linux. Dieses zweite Update schloss CVE-2026-3909 in der Grafikbibliothek Skia. Google bestätigte für beide Lücken aktive Angriffe im echten Einsatz.
Google musste Chrome in zwei Schritten nachpatchen
Die erste Meldung vom 12. März wirkte zunächst wie ein gemeinsamer Fix für beide Schwachstellen. Google hat diese Release-Notiz am 13. März aber korrigiert. In der aktualisierten Fassung steht klar, dass CVE-2026-3909 doch nicht in Version 146.0.7680.75 oder 146.0.7680.76 enthalten war und stattdessen in einem späteren Update geschlossen werden sollte. Genau dieses spätere Update kam dann am 13. März mit Version 146.0.7680.80. Für Nutzer ist das der entscheidende Punkt. Wer nur auf 146.0.7680.75 oder 146.0.7680.76 steht, hat noch nicht beide Zero-Days abgedeckt.
CVE-2026-3910 betrifft V8, also die Engine für JavaScript und WebAssembly in Chrome. Die Lücke erlaubt unter bestimmten Bedingungen Codeausführung über eine manipulierte HTML-Seite innerhalb der Browser-Sandbox. CVE-2026-3909 betrifft Skia, die von Chrome genutzte Grafikbibliothek. Auch hier kann eine präparierte HTML-Seite der Ausgangspunkt sein. Google hält technische Details zu beiden Schwachstellen vorerst zurück. Das Unternehmen will damit verhindern, dass ungepatchte Systeme noch leichter angegriffen werden können.
Was Chrome Nutzer jetzt tun sollten
Die Handlungsempfehlung ist einfach. Nutzer sollten in Chrome den Bereich „Hilfe“ und danach „Über Google Chrome“ öffnen. Dort prüft der Browser die installierte Version und lädt das Update sofort. Erst nach einem Neustart des Browsers ist der Schutz aktiv. Für Desktop-Nutzer sollte das Ziel jetzt Version 146.0.7680.80 sein. Genau diese Version enthält den Fix für CVE-2026-3909 und setzt auf dem vorherigen Notfall-Update für CVE-2026-3910 auf.
Der aktuelle Fall zeigt auch, wie angespannt die Lage im Chrome-Sicherheitszyklus 2026 bereits ist. Google hatte schon im Februar den ersten aktiv ausgenutzten Chrome-Zero-Day des Jahres geschlossen. Mit CVE-2026-3910 und CVE-2026-3909 kommen nun zwei weitere Fälle in direkter Folge dazu. Für Nutzer ist die Lage damit klar: Chrome Updates sollten im März nicht nur installiert, sondern auch aktiv auf die richtige Versionsnummer geprüft werden.