详细内容或原文请订阅后点击阅览
立即更新 Chrome:零日漏洞允许通过恶意网页执行代码
Google 发布了紧急更新,以修补一个经常被利用的零日漏洞——今年第一个 Chrome 零日漏洞。
来源:Malwarebytes Labs 博客Google 已发布针对高严重性 Chrome 零日漏洞的补丁,编号为 CVE-2026-2441,这是浏览器处理攻击者已经利用的某些字体功能的内存错误。
CVE-2026-2441 有幸成为 2026 年第一个 Chrome 零日漏洞。谷歌认为其严重性足以为其单独发布稳定通道更新,而不是等待下一个主要版本。
如何更新 Chrome
Windows 和 macOS 的最新版本号为 145.0.7632.75/76,Linux 的最新版本号为 145.0.7632.75。因此,如果您的 Chrome 版本为 145.0.7632.75 或更高版本,则可以免受这些漏洞的影响。
最简单的更新方法是让 Chrome 自动更新。但是,如果您从不关闭浏览器或者出现问题(例如扩展程序阻止更新),您最终可能会落后。
要手动更新,请点击“更多”菜单(三个点),然后转到“设置”>“关于 Chrome”。如果有可用更新,Chrome 将开始下载。重新启动 Chrome 以完成更新,您将免受这些漏洞的侵害。
您还可以在我们的指南中找到有关如何在每个操作系统上更新 Chrome 的分步说明。
技术细节
谷歌确认已经发现了积极的利用,但尚未透露谁是目标、频率或详细指标。
但我们可以从已知的信息中推导出一些信息。
该漏洞是 Chrome 的 CSS 字体功能处理 (CSSFontFeatureValuesMap) 中的释放后使用问题,该功能是网站显示文本和设置文本样式的方式的一部分。更具体地说:根本原因是迭代器失效错误。 Chrome 会循环访问一组字体特征值,同时更改该组特征值,使循环指向陈旧数据,直到攻击者设法将其转换为代码执行。
这意味着攻击者能够创建一个特殊的网站或其他可在 Chrome 浏览器的沙箱内运行代码的 HTML 内容。