PCWorld 报道称,谷歌(Google)发布了紧急的 Chrome 146 更新,修复了两个已被攻击者积极利用的零日漏洞(CVE-2026-3909 和 CVE-2026-3910)。此次更新共修补了 29 个安全漏洞,其中包括Skia图形库和V8 JavaScript引擎中的高危漏洞,对用户构成高风险。由于这些漏洞已在真实攻击中被利用,用户应立即通过手动检查更新至 Chrome 146.0.7680.75/76 版本。
针对 Windows 和 macOS 的新版本 Chrome 146.0.7680.75/76,以及针对 Linux 的 146.0.7680.75 版本,开发者修复了两个安全漏洞。据谷歌称,这两个漏洞目前已在野外被利用进行攻击。此次更新距离上一个版本(修复了另外 29 个漏洞的 Windows 和 macOS 版 Chrome 146.0.7680.71/72 以及 Linux 版 146.0.7680.71)仅过去一天。
在Chrome Releases博客文章中,斯里尼瓦斯·西斯塔(Srinivas Sista)列出了刚刚修复的两个安全漏洞。它们于2月10日由内部发现,并被归类为高风险。
通常,当有新版本可用时,Chrome 会自动更新。但如果尚未收到更新,用户可以通过菜单项“帮助”>“关于 Google Chrome”手动触发更新。
第一个零日安全漏洞是 Skia 图形库中的一个错误(CVE-2026-3909),它允许对预定义缓冲区边界之外的内存地址进行写入访问(“越界写入”)。
第二个零日漏洞(CVE-2026-3910)存在于 V8 JavaScript 引擎中,被描述为“不当实现”。目前尚不清楚具体是什么实现错误以及为何这会构成严重问题。
谷歌对利用这些漏洞的攻击的性质和规模守口如瓶。
就在两天前的3月10日,谷歌发布了新的主要版本 Chrome 146。该更新修复了 29 个安全漏洞,其中几乎全部由外部安全研究人员报告。
其中一个漏洞(CVE-2026-3913)被归类为严重级别,是 WebML 组件中的一个缓冲区溢出。此漏洞的发现者托比亚斯·维南德(Tobias Wienand)因此获得了 33,000美元 的奖励。他还因另一个 WebML 缓冲区溢出漏洞(CVE-2026-3915,尽管该漏洞仅被归类为高风险)获得了额外的 43,000美元 奖励。
有 11 个安全漏洞被确定为高风险,另外 11 个被确定为中风险。谷歌目前已向这些漏洞的发现者奖励了超过 200,000美元。在某些情况下,谷歌尚未确定其各自的奖励金额。
