Chrome 又中招！2026 年第五個零日漏洞 CVE-2026-11645 正被黑客利用，即睇點更新保平安

更新咗啲咩版本？點樣更新？

Google 喺 6 月 8 號已經將更新推送俾所有桌面版 Chrome 嘅穩定頻道（Stable Channel）用戶。由於呢個漏洞嘅攻擊手法已經存在，所以呢個更新被視為「必須立即安裝」嘅級別 。

已經修復嘅版本如下：

• Windows 同 macOS： Chrome 149.0.7827.102 / 149.0.7827.103
• Linux： Chrome 149.0.7827.102

Chrome 通常會喺背後自動更新，但呢個過程可能要幾日甚至幾個禮拜先會輪到你。想即刻檢查同手動更新嘅話，可以打開 Chrome，撳右上角嘅「三點」選單，選擇 「說明」>「關於 Google Chrome」，瀏覽器就會自動檢查更新。更新完之後，望望版本號碼係咪等於或高過上面講嘅版本就得 。

邊個發現呢個漏洞？有冇獎金？

呢個漏洞係由一位用「303f06e3」呢個代號嘅匿名安全研究員，喺 2026 年 4 月 27 號回報俾 Google 嘅 。Google 嘅 Chrome 漏洞獎勵計劃（Chrome Vulnerability Rewards Program）為咗多謝佢嘅發現，發咗一筆 55,000 美元（大約 43 萬港幣）嘅獎金俾佢。呢個金額符合 Google 對呢類高影響力 V8 記憶體損壞漏洞嘅獎勵標準 。

今年 Chrome 零日漏洞嘅「五連環」

CVE-2026-11645 嘅出現，代表住一個越嚟越令人擔心嘅趨勢。連埋今次，Chrome 喺 2026 年已經推出咗五次緊急更新，去修補正被黑客主動利用嘅零日漏洞 。個攻擊節奏明顯比往年更快。

以下係今年截至 6 月，五個已經證實俾人攞嚟用嘅 Chrome 零日漏洞一覽：

• CVE-2026-2441（2026 年 2 月）：呢個係 CSS 處理組件入面嘅「use-after-free」漏洞，黑客可以透過特製網頁喺沙盒內執行任意程式碼 。
• CVE-2026-3909（2026 年 3 月 12 日）：存在於 Skia 嘅漏洞。Skia 係一個 2D 圖形庫，Chrome 用佢嚟做網頁渲染。呢個係一個越界寫入漏洞 。
• CVE-2026-3910（2026 年 3 月 12 日）：同 CVE-2026-3909 喺同一日修補，係 V8 引擎入面一個「不當實作」嘅漏洞，同樣可以喺沙盒入面執行任意程式碼 。
• CVE-2026-5281（2026 年 4 月 1 日）：呢個係 Dawn 組件入面嘅「use-after-free」漏洞。Dawn 係 Chrome 嘅 WebGPU 實作，負責處理最先進嘅網頁圖像。呢個漏洞連美國 CISA 都將佢列入「已知被利用漏洞」目錄，要求聯邦機構限期修補 。
• CVE-2026-11645（2026 年 6 月）：就係今次 V8 引擎嘅越界讀寫漏洞 。

呢五個漏洞有一個共通點：全部都係喺 Google 推出修補程式之前，就已經俾黑客喺現實世界嘅攻擊入面用緊。呢個情況對 IT 團隊造成持續壓力，逼佢哋要不斷縮短瀏覽器軟件嘅修補週期 。

作為普通用戶，你而家應該點做？

即刻更新你嘅 Chrome 瀏覽器！由於呢個漏洞嘅攻擊手法已經廣為流傳，任何仲用緊舊版本嘅電腦，都係黑客嘅潛在目標。對於公司或者機構嘅 IT 管理員，應該盡快確認所有同事嘅電腦都已經收到呢個緊急更新，因為拖延安裝嘅風險真係好高。