Google hat ein Sicherheitsupdate für Chrome gestartet, das zwei kritische Fehler, die, nach dem Unternehmen selbst, werden bereits von Angreifern in realen Umgebungen ausgenutzt. Dies sind zwei Schwere Schwachstellen, die die wichtigsten Browser-Komponenten beeinflussen: die Skia grafische Buchhandlung und die JavaScript / WebAssembly V8-Engine.
Der erste der Fehler, aufgezeichnet als CVE-2026-3909, entspricht einem Off-Limit Schreibfehler in Skia, die 2D-Bibliothek Chrome verwendet, um Grafiken zu zeichnen. In einfachen Begriffen kann ein Angreifer eine manipulierte HTML-Seite erstellen, so dass der Browser versucht, Speicher außerhalb des beabsichtigten Bereichs zu lesen oder zu schreiben, was unerwartetes Verhalten verursachen kann oder es einfacher für bösartigen Code, um die normale Browser-Ausführung zu stören.
Das zweite Problem, CVE-2026-3910, beeinflusst V8 und wurde als unangemessene Implementierung beschrieben, die es einem Angreifer ermöglicht, beliebigen Code innerhalb der eingeschränkten Browser-Umgebung mittels einer dafür vorbereiteten Website auszuführen. Kurz gesagt, das bedeutet, dass eine gut gestaltete Explosion die Sicherheitsbarrieren entfernen könnte, die den Code in der Regel von der Systemseite des Benutzers isolieren.
Beide Schwachstellen haben einen hohen CVSS-Score (8.8) und laut Google intern erkannt und am 10. März 2026 gemeldet. Das Unternehmen hat bestätigt, dass es aktive Ausbeutungen für diese Naturversagen gibt, aber, wie in diesen Fällen üblich, hat es keine technischen Details über seine Operation geteilt oder wer könnte hinter den Missbräuchen sein, um zu verhindern, dass böswilligere Schauspieler sie replizieren. Die offizielle Google-Note auf dem Update ist auf Ihrem Chrome-Version Blog verfügbar: Stable Channel Update für Desktop.
Diese Intervention kommt Wochen nach einer ähnlichen Schwerkraftkorrektur in der CSS-Komponente des Browsers, identifiziert als CVE-2026-2441, die zu drei die Anzahl der Cero-Tage aktiv ausgenutzt, dass Google seit Anfang des Jahres gepatelt hat. Dieses Muster betont, dass Browser ein vorrangiges Ziel für Schauspieler bleiben, die versuchen, Geräte durch einfache Besuche zu manipulierten Webseiten zu kompromittieren.
Um sich zu schützen, Google empfiehlt die Aktualisierung von Chrome auf die 146.0.7680.75 / 76 Versionen unter Windows und macOS, und auf 146.0.7680.75 auf Linux. Der schnellste Weg, um zu überprüfen, ob Sie bereits das Patch haben ist zu öffnen Chrome, gehen Sie zu Mehr > Hilfe Informationen von Google Chrome und lassen den Browser nach dem Download des Updates neu starten. Die offizielle Hilfeseite von Google erklärt diesen Prozess im Detail: Wie zu aktualisieren Google Chrome.
Wenn Sie Browser verwenden, die auf Chromium gebaut werden, wie Microsoft Edge, Brave, Opera oder Vivaldi, ist es ratsam, ein Auge auf Ihre eigenen Updates zu halten: viele der Korrekturen für Chromium werden dann in diese Projekte integriert, aber die Einsatzzeiten können zwischen Lieferanten variieren. Die Aktualisierung des Browsers ist die effektivste und einfache Maßnahme gegen diese Art von Bedrohung.
Neben der Anwendung des Updates so bald wie möglich, ist es angebracht, grundlegende gute Praktiken zu erhalten, die das Risiko reduzieren: Klicken auf verdächtige Links, nicht Besuch von Seiten von zweifelhaften Ursprung, begrenzen die installierten Erweiterungen auf diejenigen, die streng notwendig sind und halten das Betriebssystem und die Sicherheitssoftware auf dem neuesten Stand. Obwohl nicht immer perfekte Praktiken, diese Maßnahmen helfen, die Exposition zu mildern, während Hersteller Patches starten.
Die Tatsache, dass Google mehrere Cero-Tage in kurzer Zeit korrigieren musste, ist eine Erinnerung, dass die Bedrohungslandschaft sich schnell entwickelt. Aktualisieren Sie jetzt und starten Sie den Browser kann der Unterschied zwischen Ausgaben einen normalen Tag und Umgang mit einem Sicherheitsvorfall sein. Die Aufrechterhaltung einer proaktiven Mentalität gegen Updates und digitale Hygiene bleibt die beste Verteidigung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...