谷歌警告兩個(gè)正在被利用的Chrome瀏覽器零日漏洞

威脅攻擊者正在利用Chrome瀏覽器中兩個(gè)高嚴(yán)重性零日漏洞，專家表示IT團(tuán)隊(duì)必須立即修補(bǔ)這些漏洞。

谷歌已為這兩個(gè)安全漏洞發(fā)布緊急補(bǔ)丁，分別為CVE-2026-3909和CVE-2026-3910。這發(fā)生在三月補(bǔ)丁星期二發(fā)布29個(gè)漏洞修復(fù)程序幾天后，以及二月發(fā)布零日補(bǔ)丁之后。受影響的是146.0.7680.75版本之前的瀏覽器。

這些漏洞利用為信息安全負(fù)責(zé)人提供了另一個(gè)理由，需要確保為所有授權(quán)瀏覽器和插件制定企業(yè)補(bǔ)丁策略。

加拿大安全意識(shí)培訓(xùn)提供商Beauceron Security的David Shipley表示："如果您不管理瀏覽器補(bǔ)丁，您被攻擊的幾率每天都在增加。"

CVE-2026-3910允許遠(yuǎn)程攻擊者通過精心制作的HTML頁面在沙盒內(nèi)執(zhí)行任意代碼，這是由于Chrome的V8 JavaScript和WebAssembly引擎中的不當(dāng)實(shí)現(xiàn)造成的。CVE-2026-3909允許遠(yuǎn)程攻擊者通過精心制作的HTML頁面執(zhí)行越界內(nèi)存訪問，原因是Chrome的Skia圖形庫中的越界寫入。Shipley指出，訪問瀏覽器內(nèi)存可能導(dǎo)致敏感企業(yè)信息丟失。

按照公司政策，谷歌在大多數(shù)用戶更新修復(fù)程序之前不會(huì)發(fā)布有關(guān)這些漏洞的詳細(xì)信息。

瀏覽器漏洞為何如此危險(xiǎn)

瀏覽器是威脅攻擊者的主要目標(biāo)，因?yàn)樗鼈兪敲總€(gè)在線用戶都使用的工具。Palo Alto Networks委托Omdia進(jìn)行的2025年報(bào)告估計(jì)，在12個(gè)月期間內(nèi)，95%的組織遭受了源自員工瀏覽器的安全事件。

因此，一位專家指出，攻擊者現(xiàn)在直接瞄準(zhǔn)瀏覽器，采用跨站腳本攻擊(XSS)、通過竊取Token進(jìn)行會(huì)話劫持以及繞過傳統(tǒng)多因素認(rèn)證的高級(jí)釣魚等攻擊方式。他認(rèn)為，以瀏覽器為中心的零信任框架是必要的應(yīng)對(duì)措施。

這些新漏洞強(qiáng)調(diào)了為什么瀏覽器引擎仍然是攻擊者最具吸引力的目標(biāo)之一。Action1漏洞研究總監(jiān)Jack Bicer表示："由于已經(jīng)確認(rèn)存在主動(dòng)利用，延遲更新的組織面臨通過受損或惡意網(wǎng)站傳播的驅(qū)動(dòng)式攻擊風(fēng)險(xiǎn)，從而暴露用戶。"

他說，Chromium和所有基于Chromium的瀏覽器，包括Chrome、Edge和其他瀏覽器，必須盡快更新到最新安全版本。管理員還應(yīng)確保在企業(yè)終端上啟用自動(dòng)更新，監(jiān)控過時(shí)的瀏覽器版本，并考慮使用瀏覽器隔離技術(shù)來減少對(duì)基于網(wǎng)絡(luò)攻擊的暴露。

Tenable高級(jí)研究工程師Scott Caveza同意，最新的兩個(gè)零日漏洞應(yīng)該受到任何安裝Chrome的組織的關(guān)注。雖然谷歌沒有提供有關(guān)這些漏洞濫用的詳細(xì)信息，但他指出，大多數(shù)與瀏覽器相關(guān)的漏洞利用確實(shí)需要受害者訪問精心制作的網(wǎng)站，這使得攻擊更可能是有針對(duì)性的。

幸運(yùn)的是，他補(bǔ)充說，更新Chrome是快速而簡單的，許多安裝都啟用了自動(dòng)更新。

"我們知道攻擊者是機(jī)會(huì)主義的，當(dāng)他們將目光投向市場上安裝最廣泛的瀏覽器之一時(shí)，團(tuán)隊(duì)必須立即采取行動(dòng)，確保盡快應(yīng)用更新，"他說。

Q&A

Q1：CVE-2026-3909和CVE-2026-3910漏洞有什么危害？

A：CVE-2026-3910允許遠(yuǎn)程攻擊者通過精心制作的HTML頁面在沙盒內(nèi)執(zhí)行任意代碼，這是由于Chrome的V8 JavaScript和WebAssembly引擎中的不當(dāng)實(shí)現(xiàn)造成的。CVE-2026-3909允許遠(yuǎn)程攻擊者通過精心制作的HTML頁面執(zhí)行越界內(nèi)存訪問，可能導(dǎo)致敏感企業(yè)信息丟失。

Q2：哪些瀏覽器版本受到這些零日漏洞影響？

A：受影響的是Chrome瀏覽器146.0.7680.75版本之前的所有版本。此外，所有基于Chromium的瀏覽器，包括Edge和其他瀏覽器，都需要更新到最新安全版本。

Q3：企業(yè)應(yīng)該如何防范這些瀏覽器零日漏洞？

A：企業(yè)應(yīng)確保為所有授權(quán)瀏覽器制定補(bǔ)丁策略，啟用自動(dòng)更新功能，監(jiān)控過時(shí)的瀏覽器版本。管理員還應(yīng)考慮使用瀏覽器隔離技術(shù)來減少對(duì)基于網(wǎng)絡(luò)攻擊的暴露，并建立以瀏覽器為中心的零信任框架。