Google紧急修复Chrome两个零日漏洞避免攻击利用

Google已推出紧急Chrome更新，修复了两个此前未知但已被攻击者利用的漏洞。

这些漏洞编号为CVE-2026-3909和CVE-2026-3910，影响浏览器核心组件。Google发出常见警告，表示技术细节将保密，直到大多数用户完成更新。

"在大多数用户完成修复更新之前，我们可能会限制对漏洞详情和相关链接的访问。如果漏洞存在于其他项目同样依赖但尚未修复的第三方库中，我们也将保持限制，"该公司表示。

CVE-2026-3909是Skia图形库中的越界写入漏洞，Skia是Chrome用于渲染网页内容和用户界面部分的图形库。像这样的内存损坏漏洞有时会被攻击者滥用来使应用程序崩溃，或在成功利用时运行他们自己的代码。

第二个漏洞CVE-2026-3910被描述为V8 JavaScript和WebAssembly引擎中的不当实现问题，V8是Chrome负责执行网页脚本的部分。V8漏洞对攻击者来说特别有价值，因为它们可能通过诱使目标访问恶意或被入侵的网站来触发。

Google表示已知这两个漏洞的攻击代码正在野外使用，但没有分享关于漏洞如何被使用或谁可能是攻击背后的详细信息。当涉及零日漏洞时，这种沉默是相当典型的；供应商倾向于在补丁广泛传播之前保留技术信息，以避免为攻击开发者提供蓝图。

修复程序包含在最新的Chrome稳定版更新中，适用于Windows、macOS和Linux，应该会在未来几天和几周内自动推出。用户也可以通过Chrome的设置菜单手动触发更新，并需要重启浏览器来完成安装。

Google表示这两个漏洞都是内部发现的，但情况并非总是如此。该公司本周还透露，2025年通过漏洞奖励计划向747名安全研究人员支付了1700万美元。

修复程序在Google修补另一个被积极利用的Chrome零日漏洞CVE-2026-2441大约一个月后发布，这是浏览器CSS处理中的高严重性释放后使用漏洞，可能允许恶意网页在浏览器沙箱内执行代码。

随着又有两个零日漏洞受到攻击，Chrome的2026年统计数字已经在增长。如果你的浏览器提醒你重启以进行更新，现在可能是听从建议的好时机。

Q&A

Q1：Chrome这次修复的两个零日漏洞具体是什么？

A：CVE-2026-3909是Skia图形库中的越界写入漏洞，CVE-2026-3910是V8 JavaScript引擎中的不当实现问题。这两个漏洞都影响Chrome浏览器核心组件，已被攻击者在野外利用。

Q2：为什么Google不公布这些漏洞的技术细节？

A：Google表示将限制漏洞详情访问，直到大多数用户完成更新。这是为了避免在补丁广泛传播之前为攻击开发者提供利用蓝图，是处理零日漏洞的标准做法。

Q3：普通用户应该如何更新Chrome来修复这些漏洞？

A：Chrome稳定版更新会在未来几天和几周内自动推出，用户也可以通过Chrome设置菜单手动触发更新，完成后需要重启浏览器来完成安装。