6月9日,美国网络安全与基础设施安全局(CISA)的办公系统上跳出一条紧急通告。一家以浏览网页为日常工作的机构,却对一款浏览器的底层引擎发出了红色警报——Google Chromium的V8 JavaScript引擎被发现一个零日漏洞,而且已经有人在互联网上实际利用它展开攻击。这距离下次联邦机构系统排查的截至日,只剩整整两周时间。
漏洞编号CVE-2026-11645,指向的并不是Chrome浏览器某个外挂功能,而是处理JavaScript的核心部件V8。CISA在通告中明确指出,该漏洞源于V8引擎内一处越界读取和越界写入缺陷。越界读写,通俗讲就是程序在读取或写入数据时,跑到了原本分配给它的内存边界之外。在分类上,它同时对应CWE-787(越界写入)和CWE-125(越界读取),这两类问题都与内存破坏漏洞深度绑定,而内存破坏往往是代码执行的温床。
问题在于,攻击者不需要直接接触目标电脑,只需设法让你在Chromium内核的浏览器里打开一张精心制作的恶意网页。一旦页面加载,藏在HTML文档里的代码就能利用V8的这块逻辑破绽,在浏览器沙箱内部执行攻击者指定的任意代码。这种“点开就中招”的攻击路径,让每一次看似普通的网页跳转都裹上了一层阴影。
值得留意的是,V8并不只是Chrome的专属引擎。Chromium开源项目撑起了一个庞大的浏览器家族,微软Edge、Opera,以及众多国产浏览器都建立在同一套代码基础之上。这意味着漏洞的影响面远不止Google自家的产品。当一个零日漏洞蹲在几十亿人日常使用的浏览底座里时,它等于在每个人的桌面上悄悄打开了一扇狭窄但真实存在的窗。
沙箱机制的确在第一时间把这种攻击限制在了浏览器进程内部,攻击者还不能直接触及操作系统或硬盘文件。但CISA和不少安全分析人士在警告里补充了一句耐人寻味的提示:经验丰富的高级威胁团体,往往不会只拿着一个漏洞。他们可以将这个沙箱内的代码执行漏洞,与另一个专门突破沙箱的漏洞“手拉手”串联起来,一步一步走到系统底层。这样一来,一次随手的点击就不再只是浏览器标签页的异常,而可能演变为终端失守的起点。
这或许解释了为什么CISA在6月9日当天就将CVE-2026-11645直接收入了旗下的“已知被利用漏洞”(KEV)目录。编辑这份目录的门槛极严:必须有确凿证据显示漏洞已被实际用于攻击,而不是停留在实验室里的理论推演。CISA没有在通告里注明漏洞被用于勒索软件攻击的消息,这一点得到了明确澄清。但对于防御方来说,“已遭利用”这一条身份,足以把修复排期的紧急程度直接拉到最高。
根据美国联邦机构必须遵守的BOD 22-01指令,所有受该漏洞影响的系统都必须在14天内完成修补,也就是6月23日之前。这份名为《约束性操作指令》的文件对联邦民用机构的系统管理员来说不算陌生,它要求一旦有漏洞登上KEV目录,就需要在规定时限内打补丁,或者干脆停用相关产品。这一次,留给美国各个联邦办公室的时间只有两周,对于大型机构那套层层审批的补丁管理流程而言,几乎是一道不容喘息的死线。
但对于企业用户和个人而言,CISA的建议同样毫不含糊。机构率先发声称,任何组织都应立刻应用厂商已经或即将发布的安全更新。如果某个系统一时半刻等不到补丁,CISA给出的建议很直白:不要再继续使用受影响的产品,直到完整的安全更新到位。这个“宁可停用,不给机会”的姿态,透露出在零日漏洞面前,任何侥幸心理都很昂贵。
安全研究人员顺带提醒了一条不容易引起注意的防守策略:浏览器行为监控。利用这类漏洞的攻击,往往会在浏览器进程内存中留下痕迹,比如突然的进程崩溃、异常的页面请求或沙箱里出现的非预期代码执行。对于那些部署了端点检测与响应(EDR)工具的企业来说,异常活动告警也许能成为在补丁窗口期的一道低压防线。同时,减少对不信任网站的访问、关闭不必要的浏览器扩展和插件,这些日常习惯的微小调整,也能在一定程度上压缩攻击者的操作空间。
回过头看,这则警告恰恰复刻了近几年浏览器漏洞攻防战的常见剧本:一个大范围使用的开源引擎,一个内嵌在人们每天点开的标签页后面的内存漏洞,再配合一个被构造成无害页面的武器化HTML。攻击者看中的,是用户对“正常网页”这件事毫无戒心。而防御方手里的牌,仍然是补丁速度、安全配置和终端监控之间的赛跑。6月23日的期限已经压过来,对于任何依赖Chromium浏览器工作的人来说,这一轮补丁,或许比想象中更经不起拖延。
热门跟贴