谷歌近日发布紧急更新,修复了一个已被黑客在真实攻击中利用的高危零日漏洞。所有 Chrome 用户应立即手动检查并安装更新。
该漏洞编号为 CVE-2026-2441,由安全研究员 Shaheen Fazim 于 2026 年 2 月 11 日发现并报告。谷歌在两天后(2 月 13 日)迅速发布补丁,并确认该漏洞已在“野外”被积极利用——这意味着攻击者正利用它发起真实攻击,而非仅停留在理论层面。
漏洞原理:CSS 字体处理中的“释放后使用”
CVE-2026-2441 是一个 “释放后使用”(Use-After-Free)漏洞,CVSS 评分为 8.8(高危)。它存在于 Chrome 处理 CSS 高级字体功能 的模块中,具体涉及 CSSFontFeatureValuesMap 引擎。
攻击者可构造一个包含特殊字体的恶意网页。用户无需点击、下载或交互,仅需加载该页面,就可能触发漏洞,导致 Chrome 在内存中执行任意代码。
虽然 Chrome 的沙盒机制仍能限制部分损害(攻击者无法直接控制整个操作系统),但成功利用后,黑客仍可能:
- 窃取当前会话的 Cookie 和浏览数据
- 监控打开的标签页
- 尝试进一步逃逸沙盒,提升权限
如何保护自己?
谷歌已为以下版本推送修复:
- Chrome 145.0.7632.75 / .76
- Chrome 144.0.7559.75(适用于尚未升级到 145 的用户)
请立即操作:
- 打开 Chrome,点击右上角 三个点 → 帮助 → 关于 Google Chrome
- 系统将自动检查并下载更新
- 安装完成后,重启浏览器
截至本文撰写时,Windows 64 位版本已更新至145.0.7632.46(部分地区版本号略有差异,以实际推送为准)。
为何如此紧急?
- Chrome 全球市场份额超 76%(StatCounter 数据),影响数十亿用户
- 零日漏洞 + 已被利用 = 极高现实风险
- 谷歌通常在多数用户完成更新前不公开技术细节,以防更多攻击者模仿
不要等待自动更新。在高危零日面前,主动防御是唯一可靠的选择。花 30 秒完成更新,远胜于事后应对数据泄露或账户被盗。
0条评论