谷歌Chrome紧急修复野外利用的0Day漏洞:技术细节与更新指南 谷歌已为Chrome浏览器发布紧急
谷歌已为Chrome浏览器发布紧急安全更新,修复一个在野攻击中被利用的0Day漏洞。Windows和Mac稳定版现已升级至146.0.7680.177/178,Linux版本同步更新至146.0.7680.177。此次更新将按标准流程在未来数日或数周内完成全球部署。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
该漏洞编号为CVE-2026-5281,属于Dawn组件中的释放后使用漏洞。Dawn是Chrome实现WebGPU标准的跨平台GPU抽象层。此类内存安全漏洞可导致攻击者执行任意代码,并可能绕过浏览器的沙箱隔离机制。谷歌已确认存在针对此漏洞的野外利用,标志着其威胁等级达到最高。
一位匿名研究员于2026年3月10日提交了该漏洞。遵循谷歌的安全披露策略,在大多数用户完成更新前,漏洞的完整技术细节将保持限制性公开。此举旨在增加漏洞复现难度,为全球用户争取关键的补丁部署时间窗口。
本次更新共包含21项安全修复,其中19项被标记为高危级别,涉及Chrome多个核心子系统。以下清单为安全团队提供了关键的风险评估依据:
(CVE-2026-5273)CSS中的释放后使用(3月18日报告)
(CVE-2026-5272)GPU中的堆缓冲区溢出(3月11日报告)
(CVE-2026-5274)编解码器中的整数溢出(3月1日报告)
(CVE-2026-5275)ANGLE中的堆缓冲区溢出(3月4日报告)
(CVE-2026-5276)WebUSB中的策略执行不足(3月4日报告)
(CVE-2026-5278)Web MIDI中的释放后使用(3月6日报告)
(CVE-2026-5279)V8中的对象损坏(3月8日报告)
(CVE-2026-5280)WebCodecs中的释放后使用(3月11日报告)
(CVE-2026-5284)Dawn中的释放后使用(3月12日报告)
(CVE-2026-5285)WebGL中的释放后使用(3月13日报告)
(CVE-2026-5287)PDF中的释放后使用(3月21日报告)
(CVE-2026-5288)WebView中的释放后使用(谷歌内部报告,3月23日)
(CVE-2026-5289)导航系统中的释放后使用(谷歌内部报告,3月25日)
(CVE-2026-5290)合成系统中的释放后使用(谷歌内部报告,3月25日)
分析这份补丁列表,可以观察到释放后使用漏洞在Dawn、WebGL、WebCodecs等图形与多媒体渲染组件中高度集中。这揭示了现代浏览器在实现高性能图形和音视频处理功能时,持续面临的内存安全管理挑战。值得注意的是,清单中包含三项由谷歌内部安全团队主动发现并报告的高危漏洞,这反映了厂商在主动威胁狩猎和内部安全能力建设方面的进展。
当前的风险边界明确:所有版本号低于146.0.7680.177(Linux)或146.0.7680.178(Windows/Mac)的Chrome实例均存在潜在风险。鉴于CVE-2026-5281已被用于真实攻击,企业安全团队应将此次更新视为最高优先级的补丁管理任务,立即执行。
个人用户可通过以下步骤立即完成更新:点击浏览器右上角菜单(⋮),导航至“帮助” > “关于Google Chrome”。页面将自动检查并下载更新,完成后按提示重启浏览器即可生效。对于通过集中策略管理Chrome部署的企业,安全管理员需立即通过终端管理平台(如Google Admin Console或微软Intune)将更新版本强制推送到所有终端设备。在漏洞被活跃利用的窗口期,响应速度是构建有效防御的关键。
菜鸟下载发布此文仅为传递信息,不代表菜鸟下载认同其观点或证实其描述。
