近日,美国网络安全和基础设施安全局(CISA)针对谷歌Chromium浏览器中新发现的零日漏洞(CVE-2026-11645)发布了紧急安全警告。该漏洞不仅具有极高的危险性,且目前已被活跃的攻击者用于实际攻击中。
漏洞核心与危害机制
CVE-2026-11645 是一个存在于 Chromium V8 JavaScript 引擎中的高危漏洞(CVSS评分高达8.8)。V8引擎是负责处理浏览器中JavaScript代码的核心组件。该漏洞源于内存处理缺陷,被归类为越界写入(CWE-787)和越界读取(CWE-125)。
攻击者只需诱骗用户访问一个特制的恶意HTML页面,即可在浏览器沙箱内触发漏洞并执行任意代码。虽然初始执行被限制在沙箱内,但高级威胁攻击者可通过组合利用其他漏洞实现沙箱逃逸,进而完全控制用户的底层系统设备。
波及范围与在野利用
由于Chromium是微软Edge、Opera等众多主流浏览器的底层开源框架,该漏洞的影响面远超Chrome本身,极大地扩大了攻击面。CISA已于2026年6月9日将其列入已知被利用漏洞(KEV)目录。尽管目前尚无证据表明该漏洞被用于勒索软件攻击,但其通过常规网页交互即可触发的特性,使其成为网络钓鱼和供应链攻击的绝佳武器。
官方修复与合规要求
针对该漏洞,谷歌已在Chrome 149.0.7827.102/.103版本中完成修复,并将在未来几周内陆续向用户推送更新。该漏洞由匿名研究人员于4月底报告,并获得了5.5万美元的漏洞赏金。
鉴于其活跃利用状态,CISA已根据第22-01号约束性操作指令(BOD),要求美国联邦机构必须在2026年6月23日前完成漏洞修复。
安全防护建议
面对此类高危零日漏洞,个人用户与企业应采取以下紧急防护措施:
立即更新:用户应第一时间检查并升级浏览器至最新版本,企业需执行严格的补丁管理策略。
终端防护:部署终端检测与响应(EDR)系统,持续监控异常的浏览器活动与进程。
访问控制:限制用户访问不可信网站,并关闭非必要的浏览器功能以缩小攻击面。
应急预案:若暂无修复方案,建议用户暂停使用受影响的产品,直至安全更新发布。
基于浏览器的漏洞始终是攻击者的主要目标,及时打补丁并保持警惕是应对此类威胁的关键。
评论已关闭