CVE-2026-11645 Chrome 漏洞
谷歌發布了緊急安全更新,以修復Chrome瀏覽器中另一個已被積極利用的零日漏洞。此漏洞編號為CVE-2026-11645,是自2026年初以來谷歌修復的第五個Chrome零日漏洞。
據谷歌稱,有證據證實,針對此洩漏的攻擊已被用於實際攻擊中。該問題由匿名用戶報告給谷歌,隨後谷歌透過穩定版桌面管道發布了修復程式。
目前,針對 Windows (149.0.7827.102)、macOS (149.0.7827.103) 和 Linux (149.0.7827.102) 的修復版本正在全球內陸續推出。但是,更新過程可能需要幾天甚至幾週的時間才能覆蓋所有 Chrome 用戶。
對於不手動安裝更新的用戶,Chrome 瀏覽器會在下次啟動時自動檢查並套用可用的安全修復。
目錄
CVE-2026-11645內部結構:V8引擎的危險缺陷
此高風險漏洞源自於Chrome瀏覽器V8 JavaScript引擎中的越界讀寫漏洞。攻擊者可以透過精心建構的HTML頁面利用此漏洞,從而可能在瀏覽器的沙箱環境中執行任意程式碼。
成功利用該漏洞可能導致堆記憶體損壞,使攻擊者能夠存取超出預期邊界的記憶體。這種行為可能會洩漏敏感資訊、導致瀏覽器崩潰或助長其他惡意活動。
除了未經授權的記憶體存取之外,該漏洞還可以被利用來繞過地址空間佈局隨機化 (ASLR) 等安全保護措施,從而增加與其他弱點結合時執行程式碼的可能性。
為保護用戶而進行的有限揭露
儘管谷歌已承認該漏洞遭到積極利用,但該公司尚未披露有關攻擊的技術細節。在相當一部分Chrome用戶安裝安全性更新之前,取得漏洞資訊和相關資源的權限可能仍將受到限制。
如果受影響的程式碼存在於其他專案使用的第三方程式庫中,而這些第三方程式庫尚未實施自己的修復程序,則限制措施可能還會繼續實施。
2026年零日漏洞威脅清單不斷增加
CVE-2026-11645 是今年已被積極利用的多個 Chrome 零日漏洞之一:
- CVE-2026-2441 – CSSFontFeatureValuesMap 中的迭代器失效漏洞,已於 2 月修復。
Chrome 持續對抗零日漏洞
最新的緊急更新強調了針對現代網路瀏覽器的零日漏洞構成的持續威脅。 2025 年全年,Google修復了八個已被利用的 Chrome 零日漏洞。其中一些漏洞是由Google威脅分析小組 (TAG) 發現的,該小組專門負責追蹤複雜的網路間諜活動和間諜軟體攻擊。
不斷發現被積極利用的漏洞,凸顯了及時更新瀏覽器和快速修復漏洞對於保護用戶免受不斷演變的網路威脅的重要性。
