北京
谷歌4月28日發布Chrome瀏覽器安全更新,一口氣修復74個安全漏洞,其中一枚高危零日已被攻擊者實際利用。漏洞編號CVE-2026-11645,CVSS風險評分高達8.8分,出在Chrome的JavaScript與WebAssembly引擎V8身上——一個越界內存讀寫問題,讓遠程攻擊者僅憑一頁精心構造的HTML,就能在瀏覽器沙箱內執行任意代碼。
美國國家標準與技術研究院(NIST)國家漏洞數據庫對該漏洞的描述直白:“在谷歌Chrome 149.0.7827.103之前的版本中,V8存在越界讀取與寫入,遠程攻擊者可通過特制HTML頁面在沙箱內執行任意代碼。”這幾乎等于給攻擊者發了一張進入用戶系統的門票。
發現漏洞并負責任上報的安全研究人員化名“303f06e3”,他在4月27日將漏洞細節提交給谷歌,僅僅一天后修復版本就火速上線。谷歌對這個高價值漏洞也毫不吝嗇,向研究員支付了5.5萬美元(約合人民幣40萬元)的漏洞賞金。按照慣例,谷歌承認“CVE-2026-11645的野外利用確實存在”,但未披露任何攻擊細節——這是為了防止在多數用戶完成補丁安裝前,更多攻擊者跟進模仿。
這已經是2026年開年以來,谷歌修復的第5個被積極利用的Chrome零日漏洞。此前的四個案例分別是:CVE-2026-2441、CVE-2026-3909、CVE-2026-3910和CVE-2026-5281。平均每個月就有一個新的零日被野外捕獲,節奏比往年明顯加快,也給所有Chrome用戶敲響警鐘:你的“自動更新”真的開啟了嗎?
目前谷歌給出的安全版本是:Windows與macOS用戶應升級至149.0.7827.102或149.0.7827.103,Linux用戶應升級至149.0.7827.102。檢查更新的方法很簡單:點擊Chrome菜單右上角的“更多”,進入“幫助” > “關于Google Chrome”,系統會自動檢查并安裝最新版本,完成后按提示重啟瀏覽器即可。
如果你用的不是原生Chrome,而是同樣基于Chromium內核的瀏覽器,比如微軟Edge、Brave、Opera或Vivaldi,也別掉以輕心。這些瀏覽器的代碼庫與Chrome關系緊密,攻擊者完全可能復用相同的利用方法。建議你在廠商推送更新后第一時間跟進,把沙箱的破洞補上。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
