Google 发布了 Chrome 紧急更新,修复了 WebGPU (Dawn) 组件中编号为 CVE-2026-5281 的零日漏洞。目前已有证据表明,该漏洞正在被用于真实的网络攻击中。
Google 公司已发布紧急更新,以修复 Chrome 中又一个被用于真实攻击的"零日漏洞"。这是自今年年初以来,Google 修复的第四个此类漏洞。
Google 在安全公告中声明:
"Google 已知悉针对 CVE-2026-5281 漏洞的网络利用代码。"
WebGPU (Dawn) 中的漏洞详情
根据 Chromium 的提交记录显示,该漏洞属于 Dawn 组件中的"释放后使用"内存错误。Dawn 是 Chromium 项目中使用的 WebGPU 标准的底层跨平台实现。
攻击者可以利用 Dawn 中的这一漏洞导致网页浏览器崩溃、破坏数据、引发显示问题或导致其他异常行为。
尽管 Google 发现了攻击者在真实环境中利用此零日漏洞的证据,但公司并未披露这些攻击事件的具体细节。
Google 指出:
"在大多数用户更新系统并安装补丁之前,关于该错误的详细信息和链接可能会保持受限。此外,如果该错误存在于第三方库中(其他项目也依赖该库),且该库尚未修复,我们也会保持限制。"
Chrome 更新指南
该零日漏洞已在桌面版 Google Chrome 的稳定版中得到修复。目前已发布以下系统的更新:
- Windows
- macOS (版本号:146.0.7680.177/178)
- Linux (版本号:146.0.7680.177)
Google 提醒用户,虽然全面推送可能需要几天或几周时间,但更新现已可用。如果你不想手动更新浏览器,可以开启自动检查功能 ------ 更新将在下次启动时自动安装。
2026 年其他零日漏洞回顾
这是自今年年初以来,Google 修复的第四个被攻击者积极利用的 Chrome 零日漏洞。
第一个漏洞 (CVE-2026-2441):属于 CSSFontFeatureValuesMap(Chrome 中 CSS 字体功能值的实现)中的迭代器失效错误,Google 已于 2 月中旬修复。
本月初的修复:Chrome 还修复了另外两个已被用于攻击的零日漏洞。第一个是 Skia 图形库中的内存越界读取错误 (CVE-2026-3909);第二个是 V8 JavaScript 引擎和 WebAssembly 中的实现错误 (CVE-2026-3910)。
在 2025 年,Google 共修复了八个被用于真实攻击的零日漏洞。其中许多漏洞是由 Google 威胁分析小组发现的,该团队专门负责检测各类漏洞利用,包括那些用于间谍软件的攻击手段。