Google於4月7日發布Chrome瀏覽器的147版,將Windows與Mac平臺穩定版更新至147.0.7727.55與147.0.7727.56,Linux版本更新至147.0.7727.55,同時也修補多個重大與高風險漏洞。
這次Chrome更新一共修補60個漏洞,包括2個重大漏洞、14個高風險漏洞、20個中度風險漏洞,以及24個低風險漏洞。
其中最嚴重的是CVE-2026-5858與CVE-2026-5859,皆被歸類為重大漏洞,Google分別給予通報者4萬3千美元獎金。這兩個漏洞有個共通點,都與瀏覽器端的機器學習API模組WebML有關,CVE-2026-5858會造成WebML堆積緩衝區溢位(heap buffer overflow),CVE-2026-5859則會造成WebML發生整數溢位(Integer overflow)。
其他值得關注的漏洞揭露,還有CVE-2026-5860與CVE-2026-5861,Google分別給予通報者1萬1千美元與3千美元獎金。CVE-2026-5860是即時通訊引擎與網頁 API元件WebRTC,所導致的記憶體釋放後再存取使用(Use After Free)弱點。CVE-2026-5861則涉及JavaScript引擎V8的記憶體釋放後再存取使用問題。
綜觀這次Chrome修補的漏洞,涉及的元件以JavaScript引擎V8最多,其次為媒體與即時通訊相關元件,如WebRTC、WebAudio與Media,然後是機器學習API模組WebML。
而從漏洞類型來看,則是以記憶體相關問題為最大宗,占比將近三分之二 ,包括堆積緩衝區溢位、整數溢位、記憶體釋放後再存取使用、越界存取(Out-of-bounds access)等。次之是類型混淆(Type Confusion)與功能實作不當(Inappropriate implementation),然後是驗證與繞過政策問題。
