The Premise News
科技

Google紧急修补Chrome第五个零日漏洞 2026年已修复五起在野攻击

David Wendel Batista
Google紧急修补Chrome第五个零日漏洞 2026年已修复五起在野攻击 PHOTO BY The Premise News

Google已紧急发布Chrome浏览器的安全更新,修复一个高危零日漏洞,这是2026年以来该公司修补的第五个已被积极利用的漏洞。该漏洞编号为CVE-2026-11645,存在于Chrome的V8 JavaScript引擎中——这是处理JavaScript和WebAssembly内容的核心组件。根据Google周一发布的安全公告,针对此漏洞的利用代码已在野外被观测到。这一事件凸显了浏览器厂商面临的持续挑战:网络犯罪分子、间谍组织及商业间谍软件运营商正越来越多地将浏览器视为最具吸引力的攻击面之一。

紧急更新覆盖全平台

在一位匿名安全研究人员发现该漏洞后,Google立即开始向所有主流桌面平台——Windows、macOS和Linux——推送修补版本。更新后的版本包括适用于Windows和Linux的Chrome 149.0.7827.102,以及适用于macOS的Chrome 149.0.7827.103。尽管公司表示通过标准更新渠道的全面推送可能需要数天甚至数周,但安全研究人员证实,通过Chrome的手动更新机制,该更新已立即可用。用户只需进入浏览器的设置菜单并选择“关于Google Chrome”部分,系统便会自动检查并获取新版本。

漏洞详情与攻击场景

该补丁修复的漏洞因属于V8引擎中的越界读取和写入漏洞而尤为危险。这类弱点在软件不当访问超出分配缓冲区的内存位置时发生,导致内存损坏、信息泄露、应用程序崩溃,甚至可能触发任意代码执行。Google警告称,攻击者可能通过恶意或受感染的网站传递特制HTML内容来利用CVE-2026-11645。即使用户仅访问一个恶意页面,即使Chrome的沙箱环境——旨在将网页内容与底层操作系统隔离的关键安全层——也无法完全阻止该漏洞被触发。

浏览器引擎中的内存损坏漏洞仍然是最有价值的软件缺陷类别之一,因为它们常常作为更广泛攻击链的第一阶段。根据可获取的技术信息,成功利用CVE-2026-11645可能允许攻击者执行以下操作:

  • 读取指定边界之外的内存内容。
  • 破坏堆内存结构。
  • 泄露浏览器进程中存储的敏感信息。
  • 触发浏览器崩溃和不稳定。
  • 绕过内存保护机制。
  • 在与其他漏洞配合时助长进一步的代码执行攻击。

这类越界内存访问缺陷通常能使攻击者绕过诸如地址空间布局随机化(ASLR)等防御机制——ASLR本意是大幅增加利用难度。通过揭示内存布局信息或破坏关键结构,攻击者可以提高后续利用阶段的可靠性,若同时存在其他弱点,则可能最终导致整个系统被攻陷。

零日漏洞频发:浏览器成攻击首选入口

这起最新事件折射出更广泛的网络安全趋势:无论是在企业环境还是消费者环境中,网络浏览器已成为最受攻击者青睐的软件目标之一。由于浏览器是访问在线应用程序、云服务、电子邮件平台、银行系统和企业网络的门户,一次成功的浏览器漏洞利用可以为攻击者提供进入更大环境的立足点。威胁情报团队反复观察到,高级持续性威胁(APT)组织利用浏览器漏洞攻击记者、政府官员、政治异见人士和企业高管。近年来,零点击和单点击浏览器漏洞已成为商业间谍软件运营的支柱,供应商开发出复杂的攻击链,能够通过看似无害的网页内容入侵设备。

2026年第五个已修复零日漏洞回顾

CVE-2026-11645是Google今年修复的第五个已被积极利用的Chrome漏洞。该公司在2026年上半年已处理了一系列重大安全缺陷,其中包括:

  • CVE-2026-2441:于2月修复,涉及影响CSSFontFeatureValuesMap的迭代器失效问题,该组件负责处理Chrome渲染架构中的CSS字体特征值。
  • CVE-2026-3909:于3月披露,为影响Skia图形库的越界写入漏洞,Skia是Chromium生态系统中广泛使用的开源图形引擎。
  • CVE-2026-3910:同样于3月修复,涉及V8 JavaScript和WebAssembly引擎中的实现弱点,使攻击者能在特定条件下操纵浏览器行为。
  • CVE-2026-5281:于4月修复,为影响Dawn的使用后释放漏洞,Dawn是Google对WebGPU标准的实现,支持现代浏览器中的高级图形处理和硬件加速。

内存安全漏洞——包括使用后释放错误、越界读取和越界写入——尽管浏览器厂商不断加强防御,仍持续主导着浏览器利用活动。这些缺陷的反复出现再次引发呼声,要求浏览器开发更广泛采用像Rust这样的内存安全编程语言。Google、微软及其他科技公司已日益强调内存安全倡议,此前有研究显示,绝大多数关键软件漏洞源于内存管理错误。尽管Chrome的架构已包含众多缓解措施——包括站点隔离、沙箱、漏洞检测系统和增强的进程分离——但安全专家认为,减少非安全内存代码仍然是防范浏览器利用的最有效长期防御手段之一。

根据标准做法,对于已被积极利用的漏洞,Google将不公开详细的攻击技术信息。公司表示,漏洞详情、概念验证代码及相关文档的访问权限将受到限制,直至大多数Chrome用户安装了安全更新。这一政策旨在防止其他威胁行为者在脆弱系统得到修补前开发出模仿性利用代码。Google还表示,如果依赖类似代码的第三方软件项目尚未实施相应修复,披露限制可能继续维持。公司并未透露是谁发现了该漏洞、谁在利用它,或者这些攻击是否与以经济利益为驱动的网络犯罪分子、国家支持的行为者或商业监控供应商有关。

The Premise News 编辑观点:CVE-2026-11645的紧急补丁不仅仅是一次普通的安全更新——它尖锐地提醒我们,浏览器厂商正陷入一场与攻击者之间无休止的军备竞赛,而零日漏洞如今已被当作商品来交易。2026年已有五个Chrome零日漏洞获得修复,积极利用的频率已成为当前威胁格局的显著特征。真正面临风险的是几乎每一位互联网用户的安全,因为浏览器仍然是工作、金融、通信和治理的主要界面。关键张力在于攻击速度与补丁推送的必然缓慢之间的矛盾,后者可能导致大量用户在数天内持续暴露于危险之下。读者应密切关注Google及其他开发商是否会加速采用Rust等内存安全语言,以及攻击者是否会开始针对补丁流程本身。一个尖锐的观察是:Google自身的威胁分析小组频繁发现这些攻击活动,意味着该公司既是防御者也是主要情报来源——这一独特地位凸显了挑战的规模。归根结底,这个故事不是关于单个漏洞,而是关于一个建立在复杂、非安全内存代码之上的数字世界的结构性弱点;除非整个行业从根本上改变其做法,否则攻击者将继续加以利用。

您怎么看?