CVE-2026-11645 Chrome 漏洞

通过Mezo在漏洞

翻译为：

谷歌发布了紧急安全更新，以修复Chrome浏览器中另一个已被积极利用的零日漏洞。该漏洞编号为CVE-2026-11645，是自2026年初以来谷歌修复的第五个Chrome零日漏洞。

据谷歌称，有证据证实，针对此漏洞的攻击已被用于实际攻击中。该问题由匿名用户报告给谷歌，随后谷歌通过稳定版桌面渠道发布了修复程序。

目前，针对 Windows (149.0.7827.102)、macOS (149.0.7827.103) 和 Linux (149.0.7827.102) 的修复版本正在全球范围内陆续推出。但是，更新过程可能需要几天甚至几周的时间才能覆盖所有 Chrome 用户。

对于不手动安装更新的用户，Chrome 浏览器会在下次启动时自动检查并应用可用的安全修复程序。

该高危漏洞源于Chrome浏览器V8 JavaScript引擎中的越界读写漏洞。攻击者可以通过精心构造的HTML页面利用此漏洞，从而可能在浏览器的沙箱环境中执行任意代码。

成功利用该漏洞可能导致堆内存损坏，使攻击者能够访问超出预期边界的内存。这种行为可能会泄露敏感信息、导致浏览器崩溃或助长其他恶意活动。

除了未经授权的内存访问之外，该漏洞还可以被利用来绕过地址空间布局随机化 (ASLR) 等安全保护措施，从而增加与其他弱点结合时执行代码的可能性。

尽管谷歌已承认该漏洞遭到积极利用，但该公司尚未披露有关攻击的技术细节。在相当一部分Chrome用户安装安全更新之前，获取漏洞信息和相关资源的权限可能仍将受到限制。

如果受影响的代码存在于其他项目使用的第三方库中，而这些第三方库尚未实施自己的修复程序，则限制措施可能还会继续实施。

CVE-2026-11645 是今年已被积极利用的多个 Chrome 零日漏洞之一：

最新的紧急更新强调了针对现代网络浏览器的零日漏洞构成的持续威胁。2025 年全年，谷歌修复了八个已被利用的 Chrome 零日漏洞。其中一些漏洞是由谷歌威胁分析小组 (TAG) 发现的，该小组专门负责追踪复杂的网络间谍活动和间谍软件攻击。

不断发现被积极利用的漏洞，凸显了及时更新浏览器和快速修复漏洞对于保护用户免受不断演变的网络威胁的重要性。

搜索