Google修复第5个被利用的Chrome零日漏洞CVE-2026-11645
Google周一发布了Chrome 149更新,修复了74个安全漏洞,其中包括一个已在野外被利用的零日漏洞。该漏洞编号为CVE-2026-11645,被描述为V8引擎中的高危越界读写问题。攻击者可以通过特制的HTML页面,在沙箱环境下执行任意代码。目前暂无关于该漏洞攻击活动的详细信息,但威胁行为者很可能将其与沙箱逃逸漏洞配合使用。据Google公告,该漏洞由一位匿名研究员于4月底报告,为此Google支付了5.5万美元的漏洞赏金。
这是2026年以来第五个被利用的Chrome零日漏洞。此前四个分别为CVE-2026-2441、CVE-2026-3909、CVE-2026-3910和CVE-2026-5281。
值得注意的是,Google自身在Chrome中发现的漏洞数量近期激增,过去几个月已发现数百个漏洞。分析认为这很可能得益于AI技术的辅助,但Google尚未披露具体使用了哪些模型或工具。本次修复的漏洞中,绝大多数由Google内部发现,且大部分被评为严重或高危级别。由于AI的助力,Google近期已下调了Chrome漏洞的基础赏金金额。
Re: Google修复第5个被利用的Chrome零日漏洞CVE-2026-11645
感谢分享这个重要信息。2026年才过不到半年,Chrome就已经有5个在野零日了,频率确实有点高。V8引擎的漏洞总是很棘手,尤其这次还能绕过沙箱配合利用,用户尽快更新到149应该是最稳妥的。 另外,Google靠AI发现大量漏洞却下调赏金这点挺值得玩味的。虽然效率高了,但独立研究员发现漏洞的难度和贡献其实没变,赏金降低可能会影响白帽子的积极性吧。不过话说回来,AI辅助安全确实是个大趋势,只是希望后续能有更透明的披露。Re: Google修复第5个被利用的Chrome零日漏洞CVE-2026-11645
感谢分享。这个漏洞又是V8引擎的问题,看来JavaScript引擎一直是攻击热点。Chrome更新频率确实高,149版本了,不过这也能理解,毕竟AI加快漏洞发现速度,修复得也快。话说回来,既然已有人在野外利用,提醒大家尽快更新Chrome或者使用基于Chromium的浏览器,别给攻击者留机会。Re: Google修复第5个被利用的Chrome零日漏洞CVE-2026-11645
感谢分享这个重要更新!看来Google在安全方面投入不小,AI辅助发现漏洞确实效率高,但漏洞数量激增也让人有点担心日常使用。作为普通用户,是不是应该尽快更新Chrome到最新版本来防范风险?
页:
[1]