江蘇
關(guān)鍵詞
漏洞
谷歌已正式將 Chrome 148 版本推廣至 Windows、Mac 和 Linux 的穩(wěn)定版渠道,Linux 版本號(hào)為 148.0.7778.96,Windows 和 Mac 版本號(hào)為 148.0.7778.96/97。這是該瀏覽器近期歷史上安全級(jí)別最高的版本之一,一次更新就包含了 127 項(xiàng)安全修復(fù)。
在已解決的 127 個(gè)漏洞中,有 3 個(gè)被評(píng)為“嚴(yán)重”,24 個(gè)被評(píng)為“高”,還有相當(dāng)一部分屬于“中”和“低”類別。
谷歌向負(fù)責(zé)任地披露漏洞的外部研究人員發(fā)放了超過 10 萬美元的漏洞賞金,其中一名研究人員因報(bào)告V8 中一個(gè)高危越界讀寫漏洞而獲得了 5.5 萬美元的獎(jiǎng)勵(lì)。
Chrome 瀏覽器嚴(yán)重漏洞已修復(fù)
三個(gè)被評(píng)為“嚴(yán)重”級(jí)別的漏洞風(fēng)險(xiǎn)最高。CVE-2026-7896 是 Blink 渲染引擎中的一個(gè)整數(shù)溢出漏洞,由外部研究人員于 3 月 18 日?qǐng)?bào)告,并獲得了 43,000 美元的賞金。
CVE-2026-7897 和 CVE-2026-7898 都是釋放后使用漏洞,一個(gè)在移動(dòng)組件中,一個(gè)在 Chrome 遠(yuǎn)程桌面(Chrome Remote Desktop)中,這兩個(gè)漏洞分別于 4 月 18 日和 4 月 20 日由 Google 內(nèi)部報(bào)告。
釋放后使用漏洞尤其危險(xiǎn),因?yàn)樗鼈兛赡茉试S攻擊者通過操縱已釋放的內(nèi)存區(qū)域來執(zhí)行任意代碼。
高危漏洞涵蓋了廣泛的攻擊面。CVE-2026-7899 是Chrome V8 JavaScript 引擎中的一個(gè)越界讀寫漏洞,由 Project WhatForLunch (@pjwhatforlunch) 報(bào)告,并獲得了此次更新中最高的個(gè)人獎(jiǎng)勵(lì) 55,000 美元。
CVE-2026-7900 和 CVE-2026-7901 是ANGLE(圖形抽象層)中的堆緩沖區(qū)溢出和釋放后使用漏洞,每個(gè)漏洞的獎(jiǎng)勵(lì)金額為 16,000 美元。
此外,KAIST黑客實(shí)驗(yàn)室的JunYoung Park報(bào)告了V8中的越界內(nèi)存訪問漏洞CVE-2026-7902,并因此獲得了8000美元的獎(jiǎng)勵(lì)。總而言之,這些V8和ANGLE漏洞對(duì)通過惡意構(gòu)造的網(wǎng)頁進(jìn)行“路過式攻擊”構(gòu)成了重大風(fēng)險(xiǎn)。
除了頂級(jí)缺陷之外,Chrome 148 還解決了 SVG、DOM、全屏、GPU、WebRTC、Skia、密碼、ServiceWorker、PresentationAPI、WebAudio 等一系列釋放后使用漏洞。
中等嚴(yán)重性問題還包括 V8 中的對(duì)象生命周期問題 (CVE-2026-7936)、WebRTC 中的類型混淆 (CVE-2026-7988) 以及 DevTools、Extensions 和 DirectSockets 中的策略執(zhí)行不足。
值得注意的是,CVE-2026-8022 是 MHTML 中一個(gè)低嚴(yán)重性不當(dāng)實(shí)現(xiàn),它可能允許遠(yuǎn)程攻擊者通過精心構(gòu)造的 MHTML 頁面泄露跨域數(shù)據(jù),當(dāng)用戶被誘騙執(zhí)行特定的 UI 手勢(shì)時(shí),攻擊者可以利用該漏洞。
Google 對(duì)數(shù)十位獨(dú)立研究人員表示感謝,其中包括來自 KAIST 黑客實(shí)驗(yàn)室、騰訊安全玄武實(shí)驗(yàn)室、國立陽明交通大學(xué)安全與系統(tǒng)實(shí)驗(yàn)室以及 Theori 的貢獻(xiàn)者。
根據(jù) Chrome 的公告,檢測到的漏洞是使用 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、libFuzzer 和 AFL 等自動(dòng)化模糊測試和清理工具發(fā)現(xiàn)的,這凸顯了谷歌主動(dòng)安全測試基礎(chǔ)設(shè)施的規(guī)模。
Windows、Mac 和 Linux 用戶應(yīng)立即更新至 Chrome 148.0.7778.96/97 以修復(fù)這些漏洞。
下一個(gè)穩(wěn)定版本 Chrome 149 計(jì)劃于 2026 年 6 月 2 日發(fā)布。用戶可以通過“設(shè)置”→“幫助”→“關(guān)于 Google Chrome”進(jìn)行更新,這將觸發(fā)自動(dòng)下載和安裝。
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
