来源: New Chrome Zero-Day CVE-2026-5281 Under Active Exploitation — Patch Released
谷歌周四发布了Chrome 浏览器的安全更新,以解决 21 个漏洞,其中包括一个已被实际利用的零日漏洞。
该高危漏洞**CVE-2026-5281** (CVSS 评分:N/A)涉及Dawn中的一个释放后使用漏洞,Dawn 是 WebGPU 标准的开源跨平台实现。
根据美国国家标准与技术研究院 (NIST) 的国家漏洞数据库 (NVD) 中对该漏洞的描述,“146.0.7680.178 版本之前的 Google Chrome 浏览器中的 Dawn 漏洞存在释放后使用 (Use-after-free) 的情况,远程攻击者如果已经攻破了渲染进程,就可以通过精心构造的 HTML 页面执行任意代码。”
与以往此类警报一样,谷歌并未提供关于漏洞如何被利用以及幕后黑手是谁的更多细节。这样做通常是为了确保大多数用户都能及时获得修复,并防止其他攻击者加入利用漏洞的行列。
“谷歌已经意识到 CVE-2026-5281 漏洞已被利用,”该公司承认。
就在谷歌修复了两个被利用为零日漏洞的高危漏洞(CVE-2026-3909 和 CVE-2026-3910)之后,又出现了新的进展。今年2月,这家科技巨头还修复了Chrome CSS组件中一个被积极利用的“释放后使用”漏洞(CVE-2026-2441)。自年初以来,谷歌总共修复了四个被积极利用的Chrome零日漏洞。
为了获得最佳保护,建议用户将 Chrome 浏览器更新至 Windows 和 macOS 系统版本 146.0.7680.177/178,Linux 系统版本 146.0.7680.177。要确保已安装最新更新,用户可以依次点击“更多”>“帮助”>“关于 Google Chrome”,然后选择“重新启动”。
使用其他基于 Chromium 内核的浏览器(例如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户也建议在修复程序可用时立即应用这些修复程序。