谷歌再次拉响了 Chrome 浏览器的安全警报。周二,谷歌发布紧急更新,修复了 CVE-2026-5281,这是 2026 年以来发现的第四个已被积极利用的 Chrome 零日漏洞。
此次漏洞的源头指向了 Dawn——Chromium 项目中实现 WebGPU 标准的底层跨平台库。谷歌威胁分析小组(TAG)确认,已有证据表明攻击者正在利用该漏洞发起真实攻击,尽管具体的攻击细节和目标尚未公开。
漏洞详情:Dawn 中的“释放后使用”
- 漏洞类型:释放后使用 (Use-After-Free, UAF)。这是一种高危内存错误,发生在程序继续使用已释放的内存块时。
- 受影响组件:Dawn,它是 Chrome 浏览器支持下一代图形 API WebGPU 的核心引擎。
- 潜在危害:攻击者可利用此漏洞导致浏览器崩溃、数据损坏、渲染异常,甚至在特定条件下实现远程代码执行 (RCE),从而完全控制受害者的设备。
- 利用现状:谷歌明确表示“漏洞利用已存在野外攻击”,这意味着这并非理论风险,而是正在发生的现实威胁。
紧急修复与版本更新
谷歌已迅速向稳定版用户推送了修复补丁。请确保您的 Chrome 浏览器更新至以下版本或更高:
| 平台 | 修复版本号 |
|---|---|
| Windows / macOS | 146.0.7680.177 / .178 |
| Linux | 146.0.7680.177 |
如何更新:
- 打开 Chrome 浏览器。
- 点击右上角的三个点图标 > 帮助 > 关于 Google Chrome。
- 浏览器将自动检查并下载更新。完成后,点击 “重新启动” 即可应用修复。
注意:虽然谷歌表示全面推送可能需要数天,但大多数用户现在手动检查即可立即获得更新。
2026 年 Chrome 零日漏洞“爆发”之年?
此次修复标志着 2026 年 Chrome 零日漏洞利用事件的第四起,频率之高令人担忧:
| 时间 | 漏洞编号 (CVE) | 受影响组件 | 漏洞类型 |
|---|---|---|---|
| 2 月中旬 | CVE-2026-2441 | CSSFontFeatureValuesMap | 迭代器失效 |
| 3 月初 | CVE-2026-3909 | Skia 2D 图形库 | 越界写入 |
| 3 月初 | CVE-2026-3910 | V8 JS/Wasm 引擎 | 不当实现 |
| 3 月底 | CVE-2026-5281 | Dawn (WebGPU) | 释放后使用 (UAF) |
相比之下,2025 年全年谷歌共修复了 8 个 被利用的零日漏洞。而 2026 年仅过去三个月,这一数字已达到 4 个,显示出针对 Chrome 浏览器的攻击活动显著加剧。
为何如此频繁?
- 攻击面扩大:随着 WebGPU 等新特性的引入,浏览器的代码库日益复杂,潜在的漏洞点也随之增加。
- 高价值目标:Chrome 拥有全球最大的市场份额,攻破浏览器意味着能触达数十亿用户,是黑客组织(尤其是国家级间谍软件团伙)的首选目标。
- 自动化挖掘:攻击者利用 fuzzing(模糊测试)等自动化工具挖掘漏洞的效率大幅提升。
对于普通用户而言,开启自动更新是防范此类威胁的最有效手段。切勿忽视浏览器的更新提示,因为在黑客面前,每一分钟的延迟都可能带来风险。
立即检查您的 Chrome 版本,确保安全!
评论