Google 修复两个已在野外被利用的 Chrome 零日漏洞（影响 Skia 和 V8)

Google 于周四发布了 Chrome 浏览器的安全更新，修复了两个高危漏洞。该公司表示，这些漏洞已被在野利用。

漏洞详情如下：

     CVE-2026-3909（CVSS 评分：8.8）：Skia 2D 图形库中的越界写入漏洞。该漏洞允许远程攻击者通过特制的 HTML 页面执行越界内存访问。
     CVE-2026-3910（CVSS 评分：8.8）：V8 JavaScript 和 WebAssembly 引擎中的实现不当漏洞。该漏洞允许远程攻击者通过特制的 HTML 页面在沙箱内执行任意代码。
     
这两个漏洞均由 Google 于 2026 年 3 月 10 日发现并报告。按照惯例，目前尚无关于这些漏洞在野利用细节以及攻击者身份的公开信息，此举旨在防止其他威胁行为者利用这些漏洞。

公司指出：“Google 已意识到 CVE-2026-3909 和 CVE-2026-3910 的利用代码已在野外存在。”

此次更新距离 Google 修复 Chrome CSS 组件中的另一个高危释放后重用漏洞（CVE-2026-2441，CVSS 评分：8.8）仅过去不到一个月，该漏洞此前同样被作为零日漏洞利用。今年以来，Google 已累计修复了三个被积极武器化的 Chrome 零日漏洞。

为确保安全，建议用户将 Chrome 浏览器更新至以下版本：

     Windows 和 macOS：146.0.7680.75/76
     Linux：146.0.7680.75
     
用户可依次点击“更多 > 帮助 > 关于 Google Chrome”并选择“重新启动”，以确保安装最新更新。

此外，建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等其他基于 Chromium 的浏览器用户在相关修复发布后尽快应用更新。

美国网络安全和基础设施安全局 (CISA) 于 2026 年 3 月 13 日将这两个 Google Chrome 漏洞添加至其已知被利用漏洞 (KEV) 目录中，并要求联邦民事执行局 (FCEB) 机构在 2026 年 3 月 27 日前完成修复。