Google本週二公布將最新桌機版Chrome瀏覽器Windows/Mac版146.0.7680.177/178及Linux版146.0.7680.177版本釋出到穩定(Stable)通道,修補一個已發生攻擊或出現攻擊程式的漏洞。
這個版本是繼一星期前的146.0.7680.164/ 146.0.7680.165後再釋出更新版。最新Chrome修補了21項安全漏洞,其中包含19項高風險漏洞。值得注意的是,Google提醒CVE-2026-5281已經遭到濫用。
CVE-2026-5281影響Chrome/Chromium中的Dawn元件。Dawn為WebGPU API的一部份。漏洞為一使用已釋放記憶體(use after free)漏洞,可讓遠端攻擊者誘使用戶造訪變造過的HTML網頁,破壞渲染流程而在用戶裝置上執行任意程式碼。美國主管機關CISA已將本漏洞列入已知受濫用漏洞(Known Exploited Vulnerability,KEV)名單。
這是今年Google修補的第4個零時差漏洞。由於該漏洞影響Chromium-based瀏覽器元件,因此除了Google Chrome,Microsoft Edge和Opera、Vivaldi也必須儘速升級到最新版本。
本版本修補的漏洞分布來看,以GPU/圖形鏈(ANGLE / WebGL / Dawn / Compositing)漏洞最多約佔40%,次多類為媒體處理(WebCodecs / Codecs)。從漏洞類型來看,則以使用已釋放(Use-after-free)類最多,突顯記憶體安全問題的重要性。其他類型包括堆積緩衝區溢位(Heap buffer overflow)、越界讀取(Out-of-bounds read)及整數溢出(Integer overflow),也都是RCE或沙箱繞過(sandbox escape)的前置條件。
