谷歌4月28日发布Chrome浏览器安全更新,一口气修复74个安全漏洞,其中一枚高危零日已被攻击者实际利用。漏洞编号CVE-2026-11645,CVSS风险评分高达8.8分,出在Chrome的JavaScript与WebAssembly引擎V8身上——一个越界内存读写问题,让远程攻击者仅凭一页精心构造的HTML,就能在浏览器沙箱内执行任意代码。
美国国家标准与技术研究院(NIST)国家漏洞数据库对该漏洞的描述直白:“在谷歌Chrome 149.0.7827.103之前的版本中,V8存在越界读取与写入,远程攻击者可通过特制HTML页面在沙箱内执行任意代码。”这几乎等于给攻击者发了一张进入用户系统的门票。
发现漏洞并负责任上报的安全研究人员化名“303f06e3”,他在4月27日将漏洞细节提交给谷歌,仅仅一天后修复版本就火速上线。谷歌对这个高价值漏洞也毫不吝啬,向研究员支付了5.5万美元(约合人民币40万元)的漏洞赏金。按照惯例,谷歌承认“CVE-2026-11645的野外利用确实存在”,但未披露任何攻击细节——这是为了防止在多数用户完成补丁安装前,更多攻击者跟进模仿。
这已经是2026年开年以来,谷歌修复的第5个被积极利用的Chrome零日漏洞。此前的四个案例分别是:CVE-2026-2441、CVE-2026-3909、CVE-2026-3910和CVE-2026-5281。平均每个月就有一个新的零日被野外捕获,节奏比往年明显加快,也给所有Chrome用户敲响警钟:你的“自动更新”真的开启了吗?
目前谷歌给出的安全版本是:Windows与macOS用户应升级至149.0.7827.102或149.0.7827.103,Linux用户应升级至149.0.7827.102。检查更新的方法很简单:点击Chrome菜单右上角的“更多”,进入“帮助” > “关于Google Chrome”,系统会自动检查并安装最新版本,完成后按提示重启浏览器即可。
如果你用的不是原生Chrome,而是同样基于Chromium内核的浏览器,比如微软Edge、Brave、Opera或Vivaldi,也别掉以轻心。这些浏览器的代码库与Chrome关系紧密,攻击者完全可能复用相同的利用方法。建议你在厂商推送更新后第一时间跟进,把沙箱的破洞补上。
热门跟贴