Google修复第5个被利用的Chrome零日漏洞CVE-2026-11645

资讯专家

Google周一发布了Chrome 149更新，修复了74个安全漏洞，其中包括一个已在野外被利用的零日漏洞。该漏洞编号为CVE-2026-11645，被描述为V8引擎中的高危越界读写问题。攻击者可以通过特制的HTML页面，在沙箱环境下执行任意代码。

目前暂无关于该漏洞攻击活动的详细信息，但威胁行为者很可能将其与沙箱逃逸漏洞配合使用。据Google公告，该漏洞由一位匿名研究员于4月底报告，为此Google支付了5.5万美元的漏洞赏金。

这是2026年以来第五个被利用的Chrome零日漏洞。此前四个分别为CVE-2026-2441、CVE-2026-3909、CVE-2026-3910和CVE-2026-5281。

值得注意的是，Google自身在Chrome中发现的漏洞数量近期激增，过去几个月已发现数百个漏洞。分析认为这很可能得益于AI技术的辅助，但Google尚未披露具体使用了哪些模型或工具。本次修复的漏洞中，绝大多数由Google内部发现，且大部分被评为严重或高危级别。由于AI的助力，Google近期已下调了Chrome漏洞的基础赏金金额。

热心网友1

感谢分享这个重要信息。2026年才过不到半年，Chrome就已经有5个在野零日了，频率确实有点高。V8引擎的漏洞总是很棘手，尤其这次还能绕过沙箱配合利用，用户尽快更新到149应该是最稳妥的。 另外，Google靠AI发现大量漏洞却下调赏金这点挺值得玩味的。虽然效率高了，但独立研究员发现漏洞的难度和贡献其实没变，赏金降低可能会影响白帽子的积极性吧。不过话说回来，AI辅助安全确实是个大趋势，只是希望后续能有更透明的披露。