Tools / Neuigkeiten / Zwei Chrome-Zero-Days treffen V8 (WebAssembly)
Presse

Zwei Chrome-Zero-Days treffen V8 (WebAssembly)

· VaultTools

CVE-2026-3909 und CVE-2026-3910 werden aktiv in der freien Wildbahn ausgenutzt. CVE-2026-3910 zielt auf V8 ab, Chromes JavaScript- und WebAssembly-Laufzeitumgebung — dieselbe Engine, die jedes datenschutzorientierte, browserbasierte Dateiverarbeitungs-Tool antreibt. CISA-Patch-Frist: 27. März 2026.

VaultTools · 26. März 2026

Nahaufnahme einer bunten Leiterplatte, die die Browser-Engine-Infrastruktur darstellt, welche WebAssembly-Module in datenschutzorientierten Datei-Tools ausführt. Foto von Alexandre Debiève auf Unsplash

Inhaltsverzeichnis


Was Passiert Ist

Am 10. März 2026 entdeckte Googles eigenes Sicherheitsteam zwei Zero-Day-Schwachstellen in Chrome und bestätigte, dass beide aktiv in der freien Wildbahn ausgenutzt werden. Google veröffentlichte am 16. März 2026 Chrome 146.0.7680.80 und schloss damit beide Lücken:

  • CVE-2026-3909 (CVSS 8,8): ein Out-of-Bounds-Schreibfehler in Skia, Chromes 2D-Grafik-Rendering-Bibliothek
  • CVE-2026-3910 (CVSS 8,8): eine fehlerhafte Implementierung in V8, Chromes JavaScript- und WebAssembly-Engine

Beide ermöglichen es einem entfernten Angreifer, beliebigen Code auszuführen oder Out-of-Bounds-Speicherzugriffe über eine manipulierte HTML-Seite durchzuführen, ohne dass der Nutzer mehr tun muss, als die Seite in einem ungepatchten Browser zu laden. Am 13. März 2026 nahm die CISA beide CVEs in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) auf und setzte eine verbindliche Behebungsfrist bis zum 27. März 2026 für alle US-amerikanischen zivilen Bundesbehörden.

Ein separates Chrome-Stable-Update vom 18. März 2026 (Version 146.0.7680.153) schloss 26 weitere Schwachstellen in WebGL, WebRTC, Blink, ANGLE, PDFium und dem Netzwerk-Stack.

Was Jede Schwachstelle Bewirkt

CVE-2026-3909 ist ein Out-of-Bounds-Schreibfehler in Skia, der Grafikbibliothek, die für das Rendering aller visuellen Inhalte in Chrome zuständig ist: Webseiten, Canvas-Elemente, SVG und eingebettete Dokumente wie PDFs. Ein Angreifer, der diesen Fehler über eine manipulierte Seite auslöst, kann benachbarten Grafikpufferspeicher beschädigen und so möglicherweise Codeausführung oder einen Browser-Absturz herbeiführen, ohne dass der Nutzer interagieren muss.

CVE-2026-3910 steckt in V8, der Engine, die Chrome zum Kompilieren und Ausführen von JavaScript und WebAssembly verwendet. Laut CISA-KEV-Eintrag erlaubt die Schwachstelle “einem entfernten Angreifer, beliebigen Code innerhalb einer Sandbox über eine manipulierte HTML-Seite auszuführen.” Qualys bewertete beide CVEs mit einem Qualys Vulnerability Score von 95 von 100, was die bestätigte Ausnutzung in der Praxis widerspiegelt.

Warum CVE-2026-3910 Browserbasierte Datei-Tools Betrifft

Datenschutzorientierte browserbasierte Datei-Tools verwenden WebAssembly für die Kernverarbeitung. Wenn ein Nutzer ein PDF zusammenführt, Bilder konvertiert oder JSON formatiert, ohne dabei den Browser zu verlassen, lädt das Tool sein kompiliertes Wasm-Modul und führt es in V8 aus. Die Datei erreicht keinen Server. Die Verarbeitung erfolgt lokal, innerhalb derselben Engine, auf die CVE-2026-3910 abzielt.

Das macht diese Tools nicht zum Angriffsvektor. Die Schwachstelle wird durch eine bösartige HTML-Seite ausgelöst, nicht durch ein vertrauenswürdiges Wasm-Binary. Ein sauber aus Rust oder C kompiliertes Wasm-Modul enthält keinen Exploit-Code. Ist der Chrome-Browser eines Nutzers jedoch ungepacht, läuft jeder Wasm-ausführende Tab in diesem Browser auf einer kompromittierten Laufzeitumgebung.

Der Grundsatz bleibt gültig: Lokale Dateiverarbeitung schützt vor serverseitigen Datenpannen, unbefugtem Zugriff durch Dritte und Cloud-Speicherrisiken. Sie ersetzt aber nicht das Patchen der Browser-Engine selbst. Beide Sicherheitsebenen erfordern Aufmerksamkeit.

Was Die CISA-KEV-Einstufung Bedeutet

Der KEV-Katalog der CISA erfasst Schwachstellen, die von echten Bedrohungsakteuren in Produktionsumgebungen ausgenutzt werden, und keine theoretischen Proof-of-Concept-Angriffe. Die Aufnahme begründet eine verbindliche Patch-Pflicht für US-Bundesbehörden und dient als Benchmark für Sicherheitsteams im privaten Sektor.

Die Zeitspanne zwischen Googles Patch-Veröffentlichung (16. März) und CISAs KEV-Einstufung (13. März, drei Tage vor dem Stable-Release) belegt die Schwere der bestätigten Ausnutzung. Google gab am 13. März eine erste Meldung heraus, bevor das vollständige Stable-Channel-Update am 16. März folgte. Die Frist bis zum 27. März gibt Bundesbehörden 14 Tage ab der Entdeckung, um den Fix auf verwalteten Endgeräten einzuspielen.

Was Nutzer Jetzt Tun Sollten

Öffnen Sie Chrome und rufen Sie chrome://settings/help auf. Wird eine Version unterhalb von 146.0.7680.80 angezeigt, beginnt Chrome auf dieser Seite automatisch mit der Aktualisierung. Starten Sie den Browser nach dem Update neu, damit es wirksam wird.

Dieselbe V8-Engine steckt in allen Chromium-basierten Browsern. Nutzer von Microsoft Edge, Brave, Opera und Vivaldi sollten die entsprechenden Sicherheitshinweise ihrer Anbieter prüfen, die dieselbe Schwachstellenklasse betreffen.


Quellen