Folgen 
Chrome Zero-Days stellen weiterhin ein großes Risiko für Cyber-Verteidiger dar. Anfang dieses Jahres behob Google CVE-2026-2441, den ersten aktiv ausgenutzten Chrome Zero-Day des Jahres 2026. Nun wurde ein weiteres Notfall-Update veröffentlicht, das zwei weitere bereits im Umlauf ausgenutzte Schwachstellen beheben soll: CVE-2026-3910 im V8 JavaScript- und WebAssembly-Motor von Chrome sowie CVE-2026-3909, einen Schreibfehler außerhalb der Grenzen in Skia.
Google beschreibt CVE-2026-3910 als ein Problem mit unangemessener Implementierung in Chrome V8. Im Wesentlichen kann eine manipulierte HTML-Seite einem entfernten Angreifer ermöglichen, beliebigen Code innerhalb der Browser-Sandbox auszuführen.
Der neueste Notfallpatch für Chrome erscheint inmitten einer zunehmenden Zero-Day-Bedrohung. Die Google Threat Intelligence Group verfolgte im Jahr 2025 90 Zero-Days, die im Umlauf ausgenutzt wurden, gegenüber 78 im Jahr 2024, und stellte fest, dass Unternehmestechnologien für 43 Fälle oder einen Rekordwert von 48% der beobachteten Ausbeutung verantwortlich waren.
Registrieren Sie sich für die AI-Native Detection Intelligence Plattform von SOC Prime, unterstützt durch modernste Technologien und führende Cybersicherheitskompetenz, um Cyberbedrohungen zu übertreffen und eine widerstandsfähige Cybersicherheits-Haltung aufzubauen. Klicken Sie Erkunden Sie Erkennungen , um auf die umfassende Sammlung von SOC-Inhalten zur Erkennung von Schwachstellenausnutzungen zuzugreifen, gefiltert nach dem benutzerdefinierten „CVE“-Tag.
Erkennungen aus dem speziellen Regelset können auf über 40 SIEM-, EDR- und Data-Lake-Plattformen angewendet und dem neuesten MITRE ATT&CK® Framework v18.1 zugeordnet werden. Sicherheitsteams können auch Uncoder AI nutzen, um die Erkennungstechnik zu beschleunigen end-bis-Ende durch Erzeugung von Regeln direkt aus aktuellen Bedrohungsberichten, Verfeinerung und Validierung der Erkennungs- logik, automatische Visualisierung von Angriffsabläufen, Umwandlung von IOCs in benutzerdefinierte Jagdqueries und sofortige Übersetzung des Erkennungscodes in verschiedene Sprachformate.
Analyse von CVE-2026-3910
Laut Googles Sicherheitsberatungist CVE-2026-3910 eine hochkritische Schwachstelle in V8, dem JavaScript- und WebAssembly-Motor von Chrome. Sie kann durch eine manipulierte HTML-Seite ausgelöst werden und könnte die Ausführung von beliebigem Code innerhalb der Browser-Sandbox ermöglichen. Da V8 während des normalen Surfens aktive Inhalte verarbeitet, kann die Ausbeutung schon durch einfaches Besuchen einer bösartigen oder kompromittierten Website beginnen.
Das Risiko ist erheblich, da Chrome tief in die Arbeit des täglichen Unternehmens eingebunden ist. Ein aktiv ausgenutzter V8-Fehler kann gewöhnliches Surfen in einen Pfad für den Diebstahl von Zugangsdaten, die Bereitstellung von Schadcode oder eine breitere Kompromittierung verwandeln, insbesondere in Kombination mit anderen Fehlern oder Phishing.
Google hat bestätigt, dass CVE-2026-3910 im Umlauf ausgenutzt wird, hat jedoch keine technischen Details über die Exploit-Kette veröffentlicht.
Das gleiche Chrome-Update behebt auch CVE-2026-3909, eine hochkritische Schreibverletzung außerhalb der Grenzen in der Skia-Grafikbibliothek. Google sagt, dass der Fehler ebenfalls im Umlauf ausgenutzt wird. Da er eine weitere Kernbrowserkomponente betrifft und im gleichen Notfall-Release behoben wurde, sollten Organisationen das vollständige Update sofort anwenden, anstatt sich nur auf CVE-2026-3910 zu konzentrieren.
CVE-2026-3910 Abschwächung
Die empfohlene Abschwächung besteht darin, Chrome sofort auf den neuesten gepatchten Stable-Channel-Build zu aktualisieren. Google sagt, dass die behobenen Desktop-Versionen 146.0.7680.75 und 146.0.7680.76 für Windows und macOS sowie 146.0.7680.75 für Linux sind. Da Google eine Ausbeutung im Umlauf bestätigt hat, sollten Organisationen das Update in Priorität auf Mitarbeiterendpunkten, Administrator-Arbeitsplätzen und gemeinsam genutzten Systemen, die zum Browsen verwendet werden, anwenden.
Organisationen, die auf Chromium basierende Browser wie Microsoft Edge, Brave, Opera und Vivaldi verwenden, sollten auch nach entsprechenden Anbieter-Patches Ausschau halten, da diese Produkte möglicherweise von demselben zugrunde liegenden Codebasis betroffen sind.
Zusätzlich können globale Organisationen durch den Einsatz der AI-Native Detection Intelligence Plattform von SOC Prime unterstützt von führender Cyberabwehr-Expertise, eine widerstandsfähige Sicherheitslage annehmen und ihr SOC transformieren, um immer den neuesten Bedrohungen durch Zero-Day-Ausbeutung einen Schritt voraus zu sein.
FAQ
Was ist CVE-2026-3910 und wie funktioniert es?
CVE-2026-3910 ist eine hochkritische Schwachstelle im V8 JavaScript- und WebAssembly-Motor von Chrome. Google beschreibt sie als einen Implementierungsfehler, der mit einer manipulierten HTML-Seite ausgelöst werden kann, was einem entfernten Angreifer erlaubt, beliebigen Code innerhalb der Browser-Sandbox auszuführen.
Wann wurde CVE-2026-3910 erstmals entdeckt?
Laut Googles Beratung wurde die Schwachstelle am 10. März 2026 gemeldet.
Welche Auswirkungen hat CVE-2026-3910 auf Systeme?
Das Hauptproblem besteht darin, dass bösartige Webinhalte Code-Ausführung innerhalb der Chrome-Browsersandbox auslösen könnten. In realen Angriffen kann das gewöhnliches Browsen in ein Einfallstor für den Diebstahl von Zugangsdaten, die Bereitstellung von Schadsoftware oder eine weitergehende Kompromittierung verwandeln, wenn es mit anderen Techniken kombiniert wird.
Kann mich CVE-2026-3910 noch 2026 betreffen?
Ja. Jede Chrome-Installation, die noch nicht auf den gepatchten Build aktualisiert wurde, könnte noch gefährdet sein. Google sagt ausdrücklich, dass Exploits für CVE-2026-3910 im Umlauf existieren.
Wie kann ich mich vor CVE-2026-3910 schützen?
Aktualisieren Sie Chrome auf Version 146.0.7680.75 oder 146.0.7680.76 auf Windows und macOS oder 146.0.7680.75 auf Linux und starten Sie den Browser neu, um sicherzustellen, dass der gepatchte Build ausgeführt wird. Organisationen, die Alternativen auf Chromium-Basis verwenden, sollten Anbieter-Fixes anwenden, sobald diese verfügbar sind.
