谷歌警告两个正在被利用的Chrome浏览器零日漏洞

威胁攻击者正在利用Chrome浏览器中两个高严重性零日漏洞，专家表示IT团队必须立即修补这些漏洞。

谷歌已为这两个安全漏洞发布紧急补丁，分别为CVE-2026-3909和CVE-2026-3910。这发生在三月补丁星期二发布29个漏洞修复程序几天后，以及二月发布零日补丁之后。受影响的是146.0.7680.75版本之前的浏览器。

这些漏洞利用为信息安全负责人提供了另一个理由，需要确保为所有授权浏览器和插件制定企业补丁策略。

加拿大安全意识培训提供商Beauceron Security的David Shipley表示："如果您不管理浏览器补丁，您被攻击的几率每天都在增加。"

CVE-2026-3910允许远程攻击者通过精心制作的HTML页面在沙盒内执行任意代码，这是由于Chrome的V8 JavaScript和WebAssembly引擎中的不当实现造成的。CVE-2026-3909允许远程攻击者通过精心制作的HTML页面执行越界内存访问，原因是Chrome的Skia图形库中的越界写入。Shipley指出，访问浏览器内存可能导致敏感企业信息丢失。

按照公司政策，谷歌在大多数用户更新修复程序之前不会发布有关这些漏洞的详细信息。

浏览器漏洞为何如此危险

浏览器是威胁攻击者的主要目标，因为它们是每个在线用户都使用的工具。Palo Alto Networks委托Omdia进行的2025年报告估计，在12个月期间内，95%的组织遭受了源自员工浏览器的安全事件。

因此，一位专家指出，攻击者现在直接瞄准浏览器，采用跨站脚本攻击(XSS)、通过窃取Token进行会话劫持以及绕过传统多因素认证的高级钓鱼等攻击方式。他认为，以浏览器为中心的零信任框架是必要的应对措施。

这些新漏洞强调了为什么浏览器引擎仍然是攻击者最具吸引力的目标之一。Action1漏洞研究总监Jack Bicer表示："由于已经确认存在主动利用，延迟更新的组织面临通过受损或恶意网站传播的驱动式攻击风险，从而暴露用户。"

他说，Chromium和所有基于Chromium的浏览器，包括Chrome、Edge和其他浏览器，必须尽快更新到最新安全版本。管理员还应确保在企业终端上启用自动更新，监控过时的浏览器版本，并考虑使用浏览器隔离技术来减少对基于网络攻击的暴露。

Tenable高级研究工程师Scott Caveza同意，最新的两个零日漏洞应该受到任何安装Chrome的组织的关注。虽然谷歌没有提供有关这些漏洞滥用的详细信息，但他指出，大多数与浏览器相关的漏洞利用确实需要受害者访问精心制作的网站，这使得攻击更可能是有针对性的。

幸运的是，他补充说，更新Chrome是快速而简单的，许多安装都启用了自动更新。

"我们知道攻击者是机会主义的，当他们将目光投向市场上安装最广泛的浏览器之一时，团队必须立即采取行动，确保尽快应用更新，"他说。

Q&A

Q1：CVE-2026-3909和CVE-2026-3910漏洞有什么危害？

A：CVE-2026-3910允许远程攻击者通过精心制作的HTML页面在沙盒内执行任意代码，这是由于Chrome的V8 JavaScript和WebAssembly引擎中的不当实现造成的。CVE-2026-3909允许远程攻击者通过精心制作的HTML页面执行越界内存访问，可能导致敏感企业信息丢失。

Q2：哪些浏览器版本受到这些零日漏洞影响？

A：受影响的是Chrome浏览器146.0.7680.75版本之前的所有版本。此外，所有基于Chromium的浏览器，包括Edge和其他浏览器，都需要更新到最新安全版本。

Q3：企业应该如何防范这些浏览器零日漏洞？

A：企业应确保为所有授权浏览器制定补丁策略，启用自动更新功能，监控过时的浏览器版本。管理员还应考虑使用浏览器隔离技术来减少对基于网络攻击的暴露，并建立以浏览器为中心的零信任框架。