Chrome 紧急安全更新:Skia 与 V8 高危漏洞已被实际利用(CVE-2026-3909 / CVE-2026-3910)
Google 最近为 Google Chrome 发布了一次 紧急安全更新,修复了两个正在被黑客利用的高危漏洞。
这次更新将 Chrome 稳定版升级到:
- Windows / macOS:146.0.7680.75 / 76
- Linux:146.0.7680.75
由于这两个漏洞已经被攻击者实际利用(0day 漏洞),官方强烈建议用户 立即更新浏览器,避免被攻击导致系统被控制或数据泄露。
漏洞一:Skia 图形引擎内存越界写入
第一个漏洞编号为 CVE-2026-3909。
该漏洞存在于 Chrome 使用的图形渲染组件 Skia 中。
Skia 是 Chrome 用来绘制网页图形和界面的核心引擎。如果出现 越界写入(Out-of-Bounds Write) 这样的内存错误,攻击者可能会:
- 执行恶意代码
- 让浏览器崩溃
- 甚至进一步控制用户系统
这个漏洞由 Google 安全研究人员在 2026 年 3 月 10 日发现。
为了防止攻击者复制利用方法,具体技术细节暂时没有公开。
漏洞二:V8 JavaScript 引擎实现错误
第二个漏洞编号为 CVE-2026-3910。
漏洞出现在 Chrome 的 JavaScript 引擎 V8 中。
V8 是 Chrome 运行 JavaScript 的核心组件。
攻击者经常针对这个模块寻找漏洞,以 突破浏览器沙箱保护。
如果成功利用,攻击者可能:
- 逃离浏览器沙箱
- 执行系统级恶意代码
- 控制受害者电脑
该漏洞同样是在 2026 年 3 月 10 日被 Google 发现。
官方确认:漏洞已被黑客利用
Google 已明确表示:
目前已经检测到针对 CVE-2026-3909 和 CVE-2026-3910 的真实攻击。
这意味着:
只要访问恶意网站,就可能触发漏洞攻击。
如何保护自己
普通用户可以这样做:
1️⃣ 手动检查更新
打开:
1 | 设置 → 关于 Chrome |
浏览器会自动检测并下载安装更新。
2️⃣ 重启浏览器
更新完成后需要 重新启动 Chrome 才会生效。
3️⃣ 企业用户
系统管理员应尽快在所有设备上部署:
Chrome 146.0.7680.75
以避免公司设备受到 0day 攻击。
本文为译文,请以原文为准。文章来源: https://securityonline.info/double-zero-day-threat-emergency-chrome-update-patches-actively-exploited-skia-and-v8-flaws/