Google hat ein Notfall-Update für Chrome veröffentlicht. Der Konzern schließt damit zwei kritische Sicherheitslücken, die bereits aktiv von Angreifern ausgenutzt werden. Die Schwachstellen gefährden Milliarden Nutzer auf Desktops und Smartphones.
Ein Besuch auf einer manipulierten Webseite reicht Angreifern aus, um Schadcode einzuschleusen. Nutzer von Windows, macOS, Linux und Android müssen ihre Browser sofort aktualisieren. Es sind bereits die zweiten und dritten aktiv ausgenutzten Zero-Day-Lücken in Chrome in diesem Jahr.
Da Angreifer Sicherheitslücken im Browser gezielt ausnutzen, um an sensible Daten auf Ihrem Smartphone zu gelangen, ist ein proaktiver Schutz unerlässlich. Dieser kostenlose Ratgeber zeigt Ihnen in einfachen Schritten, wie Sie Ihr Android-Gerät effektiv vor Schadsoftware und Datenklau absichern. 5 sofort umsetzbare Schutzmaßnahmen entdecken
Was die Angreifer ausnutzen
Die Schwachstellen tragen die Kennungen CVE-2026-3909 und CVE-2026-3910. Beide erreichen auf der CVSS-Skala einen hohen Schweregrad von 8,8.
Die erste Lücke steckt in der Grafikbibliothek Skia. Ein sogenannter Out-of-Bounds-Write-Fehler ermöglicht es, Daten außerhalb des vorgesehenen Speicherbereichs zu schreiben. Kriminelle können so den Browser zum Absturz bringen oder Code ausführen.
Die zweite Lücke betrifft die V8-JavaScript-Engine. Ein Implementierungsfehler erlaubt es, die Sicherheits-Sandbox des Browsers zu umgehen. Auch hier reicht eine präparierte Webseite als Angriffsvektor. Googles eigene Teams entdeckten beide Fehler am 10. März.
So schützen Sie sich jetzt
Da es sich um Zero-Days handelt, kannten Angreifer die Lücken vor Google. Das Unternehmen hält Details zu den Attacken noch zurück, um keine Nachahmer zu provozieren.
Das Update ist für alle Plattformen verfügbar:
* Chrome 146.0.7680.75 für Linux
* Chrome 146.0.7680.75/.76 für Windows und macOS
* Chrome 146.0.76380.115 für Android
Nutzer sollten prüfen, ob die Aktualisierung automatisch gelaufen ist oder sie manuell in den Einstellungen anstoßen. Ein Browser-Neustart ist zwingend erforderlich. Auch Nutzer von Chromium-Browsern wie Edge oder Brave müssen bald mit Updates rechnen.
Immer mehr Zero-Days – immer schneller
Die Sicherheitslage spitzt sich zu. Erst im Februar behebt Google eine andere kritische Zero-Day-Lücke (CVE-2026-2441) in Chrome. Die jetzt gepatchten Fehler sind Nummer zwei und drei in 2026.
Zum Vergleich: 2025 dokumentierte Google 90 aktiv ausgenutzte Zero-Day-Lücken in der gesamten IT-Landschaft. 2024 waren es noch 78.
Gegen diese Flut setzt der Konzern auf massive Investitionen. Sein Bug-Bounty-Programm schüttete 2025 etwa 17 Millionen US-Dollar an externe Forscher aus. Allein für zwei kritische Fehler in der WebML-Komponente erhielt ein Forscher kürzlich 76.000 US-Dollar.
Warum Browser im Fokus stehen
Moderne Browser sind hochkomplexe Systeme im System. Sie verarbeiten permanent nicht vertrauenswürdige Inhalte aus dem Netz. Komponenten wie Skia und V8 stehen daher ständig unter Beschuss.
Sicherheitsexperten sehen einen klaren Trend: Kommerzielle Spyware-Anbieter zielen gezielt auf Chrome-Lücken. Ihre hoch entwickelte Überwachungssoftware wird oft gegen spezifische Ziele eingesetzt. Smartphones sind dabei besonders lukrativ – ein Ausbruch aus der Browser-Sandbox kann tiefen Zugriff auf persönliche Daten bedeuten.
Während Browser-Hersteller unter Hochdruck patchen, bleiben viele Android-Nutzer aufgrund unterschätzter Sicherheitslücken bei WhatsApp oder Online-Banking gefährdet. Sichern Sie Ihr Smartphone ohne teure Zusatz-Apps mit diesem kompakten Leitfaden und den darin enthaltenen Experten-Checklisten. Kostenloses Android-Sicherheitspaket anfordern
Auch Behörden schlagen Alarm. Die US-Cybersicherheitsbehörde CISA nahm die Lücken umgehend in ihren Katalog bekannter Schwachstellen auf. US-Bundesbehörden müssen die Updates bis zum 27. März installieren. Ein klares Signal an die Privatwirtschaft: Nicht warten.
Kürzere Zyklen als Antwort
Google reagiert auf die Bedrohungslage mit Tempo. Ab Chrome-Version 153 plant der Konzern, die stabilen Update-Zyklen zu verkürzen. Statt wie bisher sollen Patches dann im zweiwöchigen Rhythmus erscheinen.
Das Ziel: Das Zeitfenster für Angreifer drastisch verkleinern. Für Nutzer wird die automatische Update-Funktion damit noch wichtiger. Das manuelle Verwalten von Sicherheitspatches ist bei dieser Flut an Bedrohungen kaum mehr praktikabel.
