CVE-2026-11645：Chrome V8 引擎零日漏洞遭利用，你該立刻更新嗎？

此漏洞的 CVSS 風險評分高達 8.8 分，屬於「高風險」等級 。對一般使用者而言，一次成功的攻擊意味著對手能夠在你的電腦上，以瀏覽器處理程序的權限等級執行程式碼——這通常已足夠用來安裝惡意軟體、竊取資料，或進行下一步的權限提升攻擊。雖然 Google 的揭露用詞較為保守，僅稱該漏洞「允許遠端攻擊者在沙箱內執行任意程式碼」，但這類越界讀寫的弱點本質上也能讓攻擊者規避「位址空間配置隨機載入」（ASLR）等記憶體保護機制，尋求更深層的系統滲透 。

修補細節與時間表

這項緊急修補於 2026 年 6 月 8 日透過穩定版桌面通道推出，為一次修復 74 個安全漏洞的大型更新的一部分 。Google 已確認 CVE-2026-11645 的攻擊程式「存在於野外」，這使得所有執行桌面版 Chrome 的用戶都必須立即強制更新 。

已修補的版本如下：

• Windows 和 macOS： Chrome 149.0.7827.102 / 149.0.7827.103
• Linux： Chrome 149.0.7827.102

如同標準的 Chrome 穩定版更新，此修補將在未來數天到數週內逐步推送，但使用者可以手動觸發更新。請進入 Chrome 選單 > 說明 > 關於 Google Chrome 進行檢查與更新。

漏洞賞金與揭露

一位化名為「303f06e3」的匿名安全研究人員於 2026 年 4 月 27 日發現此漏洞並向 Google 通報 。Google 根據 Chrome 漏洞獎勵計畫對這項高影響力 V8 記憶體損毀漏洞的獎勵標準，核發了 55,000 美元的賞金 。儘管 Google 在這次的 Chrome 發行版官方部落格文章中並未逐項列出每個漏洞的賞金金額，但在摘要中包含了總數 。

2026 年 Chrome 零日漏洞的更大圖像

隨著 CVE-2026-11645 的修補，Chrome 光在 2026 年上半年就已修復了五個遭主動利用的零日漏洞 。六月前的完整清單顯示，針對瀏覽器的野外攻擊節奏正在加快：

• CVE-2026-2441（2026 年 2 月）：存在於 Chrome CSS 處理元件中的釋放後使用（Use-after-free）漏洞，允許遠端攻擊者透過惡意 HTML 頁面在沙箱內執行任意程式碼 。
• CVE-2026-3909（2026 年 3 月 12 日）：存在於 Skia 2D 圖形庫中的越界寫入漏洞，Skia 是支撐 Chrome 渲染管線的核心元件 。
• CVE-2026-3910（2026 年 3 月 12 日）：存在於 V8 引擎中的一個不當實作漏洞，允許在瀏覽器沙箱內執行任意程式碼，與 CVE-2026-3909 在同一次更新中修補 。
• CVE-2026-5281（2026 年 4 月 1 日）：存在於 Chrome 跨平台 WebGPU 實作元件 Dawn 中的釋放後使用漏洞。美國網路安全暨基礎設施安全局（CISA）已將其列入已知遭利用漏洞目錄，並要求聯邦機構限期修補 。
• CVE-2026-11645（2026 年 6 月）：在此次緊急更新中修補的 V8 越界讀寫零日漏洞 。

這五個漏洞在修補程式釋出前都已確認遭用於野外攻擊，此一模式使得 2026 年很可能超越 Google 過去幾年修補 Chrome 零日漏洞的總數。多家追蹤修補週期的消息來源指出，現在每個月的安全公告經常至少包含一個遭主動利用的漏洞，這對 IT 團隊持續施加壓力，要求他們縮短瀏覽器軟體的修補週期 。

你現在該怎麼做？

Chrome 通常會在背景自動更新，但自動推送可能需要數天才能送達所有用戶。為獲得立即的防護，請打開 Chrome，點選右上角的三點選單，選擇 「說明」>「關於 Google Chrome」，讓瀏覽器檢查並套用任何可用的更新。版本號在 Windows 和 Linux 上應顯示為 149.0.7827.102 或更高，在 macOS 上應為 149.0.7827.103 或更高 。

管理 Chrome 部署的組織應確認所有端點都已接收最新的穩定版，並考慮加快此次頻外更新的部署時程。已確認的野外攻擊狀態意味著，任何執行舊版 Chrome 的系統都將持續暴露於主動攻擊的風險之中。