云栈社区注意到,谷歌已为其Chrome浏览器发布关键安全更新,修复了多个高危漏洞,攻击者可利用这些漏洞在受影响系统上执行任意代码。由于漏洞影响浏览器核心组件,强烈建议用户立即更新。
最新Chrome稳定版已更新至 149.0.7827.155/.156(Windows 和 macOS)及 149.0.7827.155(Linux)。更新将逐步推送,预计在未来数日或数周内覆盖所有用户。本次更新包含 33 项 安全修复,其中多个因可能导致远程代码执行(RCE)而被评为高危。
谷歌已限制部分漏洞的详细技术信息披露,待大多数用户完成更新后再公开。
在已修复的漏洞中,7 个高危漏洞尤为突出,主要涉及释放后使用漏洞(use-after-free)内存破坏漏洞。攻击者可利用这些漏洞操纵内存并在浏览器上下文中执行任意代码。
关键高危漏洞包括:
- CVE-2026-12437:WebShare 组件中的释放后使用漏洞
- CVE-2026-12438:WebView 组件实现不当
- CVE-2026-12439 与 CVE-2026-12440:数字凭证中的释放后使用漏洞
- CVE-2026-12441:文件输入中的释放后使用漏洞
- CVE-2026-12442:密码管理中的释放后使用漏洞
- CVE-2026-12443:Web 认证中的释放后使用漏洞
释放后使用漏洞会在内存被释放后仍被访问时触发,攻击者可借此破坏内存结构并控制执行流程。在实际攻击场景中,受害者仅需访问恶意网页即可触发漏洞利用,无需其他交互。
除高危漏洞外,谷歌还修复了 WebRTC、扩展程序、安全浏览、GPU 和文件系统访问等多个组件中的大量高危漏洞。
其他值得关注的漏洞
- WebRTC 中的堆缓冲区溢出(CVE-2026-12447、CVE-2026-1246)
- Chromoting 和 WebRTC 中的越界读取
- 扩展程序、媒体、下载和浏览器中的多个释放后使用漏洞
- 输入处理和扩展程序中的验证不足及策略执行问题
这些漏洞可能导致数据泄露、沙箱逃逸,或与其他漏洞结合形成更复杂的攻击链。
谷歌表示,其内部安全工具(包括 AddressSanitizer、MemorySanitizer、libFuzzer 和控制流完整性机制)在发现这些漏洞中发挥了关键作用。这些工具能主动识别内存安全问题,防止漏洞被实际利用。
防御建议
用户和企业应立即采取以下措施:
- 通过“设置 > 关于 Chrome”更新至最新版本
- 重启浏览器确保补丁生效
- 监控企业环境中过时的浏览器版本
- 实施纵深防御策略,如端点保护和浏览器隔离
鉴于存在大量高危内存破坏漏洞,延迟更新将显著增加被攻击风险。
参考来源
Critical Chrome Vulnerabilities Allow Attackers to Execute Arbitrary Code – Update Now!
https://cybersecuritynews.com/chrome-vulnerabilities-execute-arbitrary-code/
关注 云栈社区,获取前沿安全资讯。 | 
发表于 6 小时前
|
查看: 4|
回复: 0
