Google Chrome 修复了已在实际攻击中被利用的零日漏洞

谷歌为 Windows、macOS 和 Linux 平台发布了 Chrome 紧急更新，修复了零日漏洞 CVE-2026-11645。V8 引擎中的这一缺陷已被用于真实世界的攻击，攻击者可借此执行代码并访问浏览器数据。

谷歌已发布 Chrome 紧急更新，以修补一个已在现实攻击中被利用的全新“零日”漏洞。这是今年以来 Chrome 修复的第五个此类漏洞。

在安全公告中，该公司表示：“谷歌已知悉 CVE-2026-11645 的漏洞利用程序已经存在，并且正被用于现实攻击中。”

此次修复针对的是桌面端 Chrome 稳定版用户。更新正在全球范围内逐步推送，各平台版本号如下：

Windows: 149.0.7827.102

macOS: 149.0.7827.103

Linux: 149.0.7827.102

该漏洞在匿名安全研究人员报告两周后得到了修复。

谷歌警告称，安全更新可能需要数天或数周时间才能覆盖所有 Chrome 用户。不想手动更新浏览器的用户只需等待自动检查：Chrome 会在下次启动时自动安装更新。

CVE-2026-11645 漏洞被评为高危级别。它涉及 Chrome V8 JavaScript 引擎中存在越界读写错误。远程攻击者可以通过构造恶意的 HTML 页面，在浏览器沙盒内执行任意代码。

如果攻击成功，攻击者可通过堆破坏获取分配内存缓冲区之外的数据访问权限。这可能导致敏感信息泄露或浏览器崩溃。

除了越界内存访问外，该漏洞还可被用于绕过地址空间布局随机化（ASLR）等安全防护机制，从而简化了在存在其他漏洞时的代码执行过程。

谷歌证实已知悉 CVE-2026-11645 “零日”漏洞被用于攻击，但目前尚未披露这些事件的细节。

对此，公司解释称：

“在大多数用户完成补丁安装之前，关于该漏洞的细节及相关链接可能会继续受限。此外，如果该漏洞存在于第三方库中，且其他依赖该库的项目尚未发布修复程序，我们也将继续限制相关信息的公开。”

自今年年初以来，谷歌还修复了另外四个已在攻击中被利用的 Chrome “零日”漏洞：

CVE-2026-2441：Chrome CSS 字体特性值实现（CSSFontFeatureValuesMap）中的迭代器失效错误。于 2 月中旬修复。

CVE-2026-3909：Skia 2D 图形库中的数据越界写入错误。于 3 月份修复。

CVE-2026-3910：V8 JavaScript 和 WebAssembly 引擎中的实现缺陷。于 3 月份修复。

CVE-2026-5281：Chromium 使用的跨平台 WebGPU 标准实现 Dawn 中的释放后使用（UAF）漏洞。于 4 月份修复。

去年，谷歌还修复了八个在实际攻击中被利用的 Chrome “零日”漏洞。其中许多是由谷歌威胁分析小组发现的，该部门专门负责追踪包括间谍活动在内的各类零日漏洞利用行为。