Google已推出紧急Chrome更新,修复了两个此前未知但已被攻击者利用的漏洞。
这些漏洞编号为CVE-2026-3909和CVE-2026-3910,影响浏览器核心组件。Google发出常见警告,表示技术细节将保密,直到大多数用户完成更新。
"在大多数用户完成修复更新之前,我们可能会限制对漏洞详情和相关链接的访问。如果漏洞存在于其他项目同样依赖但尚未修复的第三方库中,我们也将保持限制,"该公司表示。
CVE-2026-3909是Skia图形库中的越界写入漏洞,Skia是Chrome用于渲染网页内容和用户界面部分的图形库。像这样的内存损坏漏洞有时会被攻击者滥用来使应用程序崩溃,或在成功利用时运行他们自己的代码。
第二个漏洞CVE-2026-3910被描述为V8 JavaScript和WebAssembly引擎中的不当实现问题,V8是Chrome负责执行网页脚本的部分。V8漏洞对攻击者来说特别有价值,因为它们可能通过诱使目标访问恶意或被入侵的网站来触发。
Google表示已知这两个漏洞的攻击代码正在野外使用,但没有分享关于漏洞如何被使用或谁可能是攻击背后的详细信息。当涉及零日漏洞时,这种沉默是相当典型的;供应商倾向于在补丁广泛传播之前保留技术信息,以避免为攻击开发者提供蓝图。
修复程序包含在最新的Chrome稳定版更新中,适用于Windows、macOS和Linux,应该会在未来几天和几周内自动推出。用户也可以通过Chrome的设置菜单手动触发更新,并需要重启浏览器来完成安装。
Google表示这两个漏洞都是内部发现的,但情况并非总是如此。该公司本周还透露,2025年通过漏洞奖励计划向747名安全研究人员支付了1700万美元。
修复程序在Google修补另一个被积极利用的Chrome零日漏洞CVE-2026-2441大约一个月后发布,这是浏览器CSS处理中的高严重性释放后使用漏洞,可能允许恶意网页在浏览器沙箱内执行代码。
随着又有两个零日漏洞受到攻击,Chrome的2026年统计数字已经在增长。如果你的浏览器提醒你重启以进行更新,现在可能是听从建议的好时机。
Q&A
Q1:Chrome这次修复的两个零日漏洞具体是什么?
A:CVE-2026-3909是Skia图形库中的越界写入漏洞,CVE-2026-3910是V8 JavaScript引擎中的不当实现问题。这两个漏洞都影响Chrome浏览器核心组件,已被攻击者在野外利用。
Q2:为什么Google不公布这些漏洞的技术细节?
A:Google表示将限制漏洞详情访问,直到大多数用户完成更新。这是为了避免在补丁广泛传播之前为攻击开发者提供利用蓝图,是处理零日漏洞的标准做法。
Q3:普通用户应该如何更新Chrome来修复这些漏洞?
A:Chrome稳定版更新会在未来几天和几周内自动推出,用户也可以通过Chrome设置菜单手动触发更新,完成后需要重启浏览器来完成安装。
好文章,需要你的鼓励
海外博主做了一次 Siri AI、ChatGPT、Claude 横评。看完之后我最大的感受是,AI 助手的竞争已经不只是模型能力,而是谁离用户更近。
南京大学提出Light-Omni框架,通过全局状态与潜在状态双机制,让AI视频助理无需反复推理即可实现精准记忆检索,速度提升逾12倍,准确率同步提高。
Uber年度失物报告首次纳入无人驾驶出租车数据。过去一年,乘客在Uber平台的机器人出租车中遗留了数千件物品,包括手机、钥匙、钱包等常见物品,以及假牙、15磅溜溜球等奇特物件。乘客可通过App联系客服找回失物,支付15美元即可享受同城配送,或前往车辆停放站自取。Uber表示,将依托现有运营体系为自动驾驶业务提供全面支持,计划2025年底前在全球15座城市开通无人驾驶打车服务。
TREK方法通过引入外部验证解法对AI进行短期校准,解决了GRPO训练在困难题目上因无法探索正确解法区域而陷入瓶颈的问题,在数学推理和智能体任务上均取得明显提升。