Chrome 零日漏洞（CVE-2026-2441）正被积极利用 – 立即更新

Google 修复被积极利用的 Chrome 零日漏洞（CVE-2026-2441）

Google 发布了 Chrome 浏览器的紧急安全更新，以修复一个正在野外被积极利用的高危零日漏洞（CVE-2026-2441）。该漏洞由安全研究员 Shaheen Fazim 于 2026 年 2 月 11 日披露，CVSS 评分为 8.8。

技术细节

CVE-2026-2441 是 Chrome CSS 引擎中的一个释放后使用（Use-After-Free, UAF）漏洞。释放后使用漏洞发生在程序释放内存后继续使用该内存，可能允许攻击者执行任意代码或提升权限。此次漏洞存在于 Chrome 处理层叠样式表（CSS）的方式中，攻击者可通过精心构造的恶意网页内容进行利用。

虽然 Google 尚未公布完整的技术细节以防止进一步利用，但该公司确认已有针对该漏洞的攻击正在进行。这与 Chrome 近期成为零日漏洞主要攻击目标的趋势一致，主要原因是其广泛的用户基础。

影响分析

成功利用 CVE-2026-2441 可能允许威胁行为者：

• 在 Chrome 浏览器上下文中执行任意代码
• 绕过安全沙箱机制
• 可能控制受影响的系统

由于 Chrome 在 2026 年的市场份额超过 65%，该漏洞对个人用户和企业构成重大风险。攻击者可通过钓鱼攻击、被入侵的网站或恶意广告（malvertising）利用该漏洞传播间谍软件、勒索软件或银行木马等恶意负载。

建议措施

Google 已发布适用于 Windows、macOS 和 Linux 的修补版本（版本 122.0.6261.57/.58）。建议用户和管理员采取以下措施：

1. 立即更新 – 确保 Chrome 更新至最新版本：

   • 通过 设置 → 关于 Chrome 检查自动更新
   • 企业部署应通过托管策略推送更新

2. 验证补丁部署 – 通过 chrome://settings/help 检查 Chrome 版本，确认已应用更新。

3. 监控可疑活动 – 企业应审查日志，查找异常浏览器行为，如意外的进程执行或与已知恶意域的网络连接。

4. 用户教育 – 警告员工和最终用户避免访问不受信任的网站或点击可疑链接，特别是钓鱼邮件中的链接。

5. 考虑额外防护措施 – 部署终端检测与响应（EDR）解决方案，检测后利用活动，并实施严格的内容安全策略（CSP）以缓解基于 Web 的攻击。

Google 已向报告该漏洞的 Shaheen Fazim 表示感谢，但未披露漏洞赏金金额。该公司继续呼吁研究人员通过其漏洞奖励计划负责任地披露安全漏洞。

如需进一步更新，请关注 Google 的 Chrome 发布博客。