Zwei Chrome-Zero-Days treffen V8 (WebAssembly)
CVE-2026-3909 und CVE-2026-3910 werden aktiv in der freien Wildbahn ausgenutzt. CVE-2026-3910 zielt auf V8 ab, Chromes JavaScript- und WebAssembly-Laufzeitumgebung — dieselbe Engine, die jedes datenschutzorientierte, browserbasierte Dateiverarbeitungs-Tool antreibt. CISA-Patch-Frist: 27. März 2026.
VaultTools · 26. März 2026
Foto von Alexandre Debiève auf Unsplash
Inhaltsverzeichnis
- Was passiert ist
- Was jede Schwachstelle bewirkt
- Warum CVE-2026-3910 browserbasierte Datei-Tools betrifft
- Was die CISA-KEV-Einstufung bedeutet
- Was Nutzer jetzt tun sollten
- Quellen
Was Passiert Ist
Am 10. März 2026 entdeckte Googles eigenes Sicherheitsteam zwei Zero-Day-Schwachstellen in Chrome und bestätigte, dass beide aktiv in der freien Wildbahn ausgenutzt werden. Google veröffentlichte am 16. März 2026 Chrome 146.0.7680.80 und schloss damit beide Lücken:
- CVE-2026-3909 (CVSS 8,8): ein Out-of-Bounds-Schreibfehler in Skia, Chromes 2D-Grafik-Rendering-Bibliothek
- CVE-2026-3910 (CVSS 8,8): eine fehlerhafte Implementierung in V8, Chromes JavaScript- und WebAssembly-Engine
Beide ermöglichen es einem entfernten Angreifer, beliebigen Code auszuführen oder Out-of-Bounds-Speicherzugriffe über eine manipulierte HTML-Seite durchzuführen, ohne dass der Nutzer mehr tun muss, als die Seite in einem ungepatchten Browser zu laden. Am 13. März 2026 nahm die CISA beide CVEs in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und setzte eine verbindliche Behebungsfrist bis zum 27. März 2026 für alle US-amerikanischen zivilen Bundesbehörden.
Ein separates Chrome-Stable-Update vom 18. März 2026 (Version 146.0.7680.153) schloss 26 weitere Schwachstellen in WebGL, WebRTC, Blink, ANGLE, PDFium und dem Netzwerk-Stack.
Was Jede Schwachstelle Bewirkt
CVE-2026-3909 ist ein Out-of-Bounds-Schreibfehler in Skia, der Grafikbibliothek, die für das Rendering aller visuellen Inhalte in Chrome zuständig ist: Webseiten, Canvas-Elemente, SVG und eingebettete Dokumente wie PDFs. Ein Angreifer, der diesen Fehler über eine manipulierte Seite auslöst, kann benachbarten Grafikpufferspeicher beschädigen und so möglicherweise Codeausführung oder einen Browser-Absturz herbeiführen, ohne dass der Nutzer interagieren muss.
CVE-2026-3910 steckt in V8, der Engine, die Chrome zum Kompilieren und Ausführen von JavaScript und WebAssembly verwendet. Laut CISA-KEV-Eintrag erlaubt die Schwachstelle “einem entfernten Angreifer, beliebigen Code innerhalb einer Sandbox über eine manipulierte HTML-Seite auszuführen.” Qualys bewertete beide CVEs mit einem Qualys Vulnerability Score von 95 von 100, was die bestätigte Ausnutzung in der Praxis widerspiegelt.
Warum CVE-2026-3910 Browserbasierte Datei-Tools Betrifft
Datenschutzorientierte browserbasierte Datei-Tools verwenden WebAssembly für die Kernverarbeitung. Wenn ein Nutzer ein PDF zusammenführt, Bilder konvertiert oder JSON formatiert, ohne dabei den Browser zu verlassen, lädt das Tool sein kompiliertes Wasm-Modul und führt es in V8 aus. Die Datei erreicht keinen Server. Die Verarbeitung erfolgt lokal, innerhalb derselben Engine, auf die CVE-2026-3910 abzielt.
Das macht diese Tools nicht zum Angriffsvektor. Die Schwachstelle wird durch eine bösartige HTML-Seite ausgelöst, nicht durch ein vertrauenswürdiges Wasm-Binary. Ein sauber aus Rust oder C kompiliertes Wasm-Modul enthält keinen Exploit-Code. Ist der Chrome-Browser eines Nutzers jedoch ungepacht, läuft jeder Wasm-ausführende Tab in diesem Browser auf einer kompromittierten Laufzeitumgebung.
Der Grundsatz bleibt gültig: Lokale Dateiverarbeitung schützt vor serverseitigen Datenpannen, unbefugtem Zugriff durch Dritte und Cloud-Speicherrisiken. Sie ersetzt aber nicht das Patchen der Browser-Engine selbst. Beide Sicherheitsebenen erfordern Aufmerksamkeit.
Was Die CISA-KEV-Einstufung Bedeutet
Der KEV-Katalog der CISA erfasst Schwachstellen, die von echten Bedrohungsakteuren in Produktionsumgebungen ausgenutzt werden, und keine theoretischen Proof-of-Concept-Angriffe. Die Aufnahme begründet eine verbindliche Patch-Pflicht für US-Bundesbehörden und dient als Benchmark für Sicherheitsteams im privaten Sektor.
Die Zeitspanne zwischen Googles Patch-Veröffentlichung (16. März) und CISAs KEV-Einstufung (13. März, drei Tage vor dem Stable-Release) belegt die Schwere der bestätigten Ausnutzung. Google gab am 13. März eine erste Meldung heraus, bevor das vollständige Stable-Channel-Update am 16. März folgte. Die Frist bis zum 27. März gibt Bundesbehörden 14 Tage ab der Entdeckung, um den Fix auf verwalteten Endgeräten einzuspielen.
Was Nutzer Jetzt Tun Sollten
Öffnen Sie Chrome und rufen Sie chrome://settings/help auf. Wird eine Version unterhalb von 146.0.7680.80 angezeigt, beginnt Chrome auf dieser Seite automatisch mit der Aktualisierung. Starten Sie den Browser nach dem Update neu, damit es wirksam wird.
Dieselbe V8-Engine steckt in allen Chromium-basierten Browsern. Nutzer von Microsoft Edge, Brave, Opera und Vivaldi sollten die entsprechenden Sicherheitshinweise ihrer Anbieter prüfen, die dieselbe Schwachstellenklasse betreffen.
Quellen
- Google Patches Two Chrome Vulnerabilities Exploited in the Wild (CVE-2026-3909 & CVE-2026-3910) (Qualys ThreatPROTECT, 16. März 2026)
- Google Fixes Two Chrome Zero-Days Exploited in the Wild Affecting Skia and V8 (Vulert)
- Google rushes Chrome update to fix zero-days under attack (The Register, 13. März 2026)
- Google patches two Chrome zero-days under active attack (Malwarebytes, 13. März 2026)
- Chrome Under Attack: Google Patches Two Actively Exploited Zero-Day Vulnerabilities (CISO Node)
- CVE-2026-3909 and CVE-2026-3910 Chrome Zero-Day Exploited (CVSS 8.8) (Purple Ops)
- Google Chrome Update Fixes 26 Security Flaws, Including RCE Vulnerabilities (CyberPress)
- CISA Known Exploited Vulnerabilities Catalog (CISA)