谷歌近日发布Chrome浏览器的紧急安全更新,修复两个高危零日漏洞(CVE-2026-3909和CVE-2026-3910)。谷歌警告称,有关漏洞已在互联网环境中被发现利用,攻击者可能趁此机会扩大攻击范围。此次更新已面向不同平台推送:Windows和macOS版本为146.0.7680.75/76,Linux版本为146.0.7680.75,预计未来几天至几周内完成分批部署。 这两个漏洞均位于Chrome的核心组件中,攻击面广且触发条件简单。 第一个漏洞(CVE-2026-3909)存在于Skia图形引擎,属于越界写入风险。Skia负责处理浏览器中的2D图形渲染,若被利用可能导致内存数据被覆盖,引发程序崩溃甚至任意代码执行。在特定条件下,攻击者还可能借此绕过隔离机制,提升权限。 第二个漏洞(CVE-2026-3910)位于V8引擎,属于实现缺陷。V8是Chrome执行JavaScript和WebAssembly的关键组件。攻击者可构造恶意网页诱使用户访问,进而在浏览器进程中执行恶意代码。由于脚本执行是浏览器的日常功能,此类攻击隐蔽性强且易于大规模传播。 零日漏洞的危害在于补丁发布前就可能被利用,用户往往处于被动状态。此次漏洞涉及浏览器核心功能,普通用户只需访问恶意网页就可能中招;企业若未及时更新终端设备,攻击者可能通过钓鱼邮件、恶意链接等方式渗透内网,威胁账号安全、办公数据和内部系统。尤其在远程办公场景下,浏览器作为身份验证和数据访问的入口,其安全性直接影响业务连续性和数据合规性。 针对漏洞已被利用的情况,谷歌选择暂缓披露技术细节,以减少攻击者模仿的机会。但安全专家指出,降低风险的关键仍取决于用户和企业能否迅速完成更新。 个人用户应尽快检查并安装更新:进入Chrome菜单的“帮助—关于Google Chrome”触发自动更新,完成后重启浏览器。同时避免在更新前点击不明链接或安装可疑扩展程序。 企业用户应优先部署补丁,确保全网终端升级至146.0.7680.75/76版本,而非依赖自动更新机制。高风险行业可同步采取以下措施:检查终端设备是否存在长期未更新的情况;加强对浏览器扩展和脚本执行的管控;监控异常网络活动,必要时临时收紧外部访问权限,为补丁部署争取时间。 当前网络攻击呈现武器化、自动化趋势,浏览器作为互联网的主要入口,仍是攻击者的重点目标。随着浏览器功能日益复杂,安全维护需要多方协作:厂商需加快漏洞修复速度,企业需完善补丁管理机制,用户需养成及时更新和谨慎操作的习惯。只有共同努力才能减少系统性风险。
零日漏洞的危险不在于“是否会发生”,而在于“何时发生、是否来得及修补”。在网络威胁不断升级的背景下,及时更新不仅是技术需求,更是每个用户和企业的安全责任。缩短补丁部署时间、降低暴露风险,才能在数字环境中守住安全底线。