2026年第五个Chrome零日漏洞：CVE-2026-11645正被积极利用，需立即更新

补丁详情与更新时间线

谷歌于2026年6月8日通过桌面稳定版频道推送了这次紧急修复，这是作为一次大规模更新的一部分，该更新一口气修复了74个安全漏洞 。谷歌证实，CVE-2026-11645的漏洞利用程序“已在野外存在”，这使得所有桌面端Chrome用户都必须立即应用此更新，刻不容缓 。

已修复的版本如下：

• Windows 和 macOS 版本: Chrome 149.0.7827.102 / 149.0.7827.103
• Linux 版本: Chrome 149.0.7827.102

按照Chrome稳定版更新的惯例，该修复将在未来数天和数周内逐步推送至所有用户。你也可以通过以下路径手动触发更新：Chrome菜单 > 帮助 > 关于Google Chrome。

漏洞赏金与披露过程

一位化名为“303f06e3”的匿名安全研究员于2026年4月27日发现了该漏洞，并将其报告给了谷歌 。根据Chrome漏洞奖励计划（VRP）对高影响力V8内存损坏漏洞的奖励等级，谷歌为这一发现支付了55,000美元的奖金 。虽然谷歌本期的Chrome Releases官方博客帖子在摘要中提到了赏金金额，但通常情况下，谷歌不会在安全公告中详细列出每个漏洞的具体赏金数额 。

2026年Chrome零日漏洞的全景图

随着CVE-2026-11645的修复，Chrome在2026年单独就已经修补了五个被积极利用的零日漏洞 。以下是截至6月前的完整列表，显示出野外浏览器漏洞利用的加速趋势：

• CVE-2026-2441（2026年2月）: 一个存在于Chrome CSS处理中的释放后使用（Use-After-Free）漏洞，允许通过恶意构造的HTML页面在沙箱内实现远程代码执行 。
• CVE-2026-3909（2026年3月12日）: 一个存在于Skia（支撑Chrome渲染管线的2D图形库）中的越界写入漏洞 。
• CVE-2026-3910（2026年3月12日）: 一个V8引擎中的不当实现漏洞，允许在浏览器沙箱内执行任意代码，此漏洞与CVE-2026-3909在同一次发布中被修复 。
• CVE-2026-5281（2026年4月1日）: 一个存在于Dawn（Chrome的跨平台WebGPU实现）中的释放后使用漏洞，美国网络安全和基础设施安全局（CISA）已将其列入已知被利用漏洞（KEV）目录，并强制要求联邦机构限期修补 。
• CVE-2026-11645（2026年6月）: 此次紧急更新修复的V8越界读写零日漏洞 。

所有这五个漏洞都在补丁发布前被确认已在野外被利用——这一模式使得2026年Chrome零日漏洞总数有望超过往年。多个关注补丁周期的消息来源指出，如今每月的安全披露经常包含至少一个被积极利用的漏洞，这给IT团队缩短浏览器软件补丁周期带来了持续压力 。

你应该立即做什么

Chrome通常会在后台自动更新，但自动推送可能需要几天时间才能覆盖到所有用户。为立即获得保护，请打开Chrome，点击右上角的三点菜单，选择 帮助 > 关于Google Chrome，然后让浏览器检查并应用所有可用的更新。Windows和Linux上的版本号应显示为149.0.7827.102或更高，macOS上应为149.0.7827.103或更高 。

管理Chrome部署的企业和组织应验证所有终端是否已收到最新的稳定版更新，并考虑加快这个带外补丁的部署时间表。鉴于该漏洞已被确认存在野外利用，任何运行较旧版本Chrome的系统都面临被主动攻击的风险。