谷歌发布了 Chrome 146更新至 Windows、Mac 和 Linux 的稳定通道,更新包括 29 个安全修复程序。修补后的版本是适用于 Linux 的 Chrome 146.0.7680.71 以及适用于 Windows 和 Mac 的 Chrome 146.0.7680.71/72,并将在未来几天和几周内推出。
本次修复中最严重的问题版本号为 CVE-2026-3913,WebML 中的严重堆缓冲区溢出。谷歌公告称,研究员 Tobias Wienand 于 2026 年 2 月 10 日报告了该漏洞,并获得了 33,000 美元的奖励。
对于用户来说,关键要点很简单。立即更新 Chrome。谷歌并未表示这些漏洞已被广泛利用,但已修复的几个漏洞是内存损坏问题,如果攻击者将其武器化,可能会造成严重的安全风险。谷歌还表示,在更多用户安装修复程序之前,它将限制错误详细信息。
谷歌修复了什么
Google 3 月 10 日的公告列出了多个 Chrome 组件的 29 个安全修复程序。此版本中最引人注目的错误影响了 WebML,但更新还解决了 Web 语音、代理、WebMCP、扩展、TextEncoding、MediaStream、WebMIDI、WindowDialog、V8、PDF、ChromeDriver、DevTools 和其他领域的缺陷。
一些高严重性缺陷涉及释放后使用错误,攻击者经常瞄准这些错误,因为它们可能导致崩溃、内存损坏,甚至在某些情况下导致任意代码执行。该更新还修复了越界读取、不正确的安全 UI 问题、不安全的导航、侧通道泄漏和策略执行弱点。
谷歌颁发了巨额漏洞奖金对于其中一些发现。该公司表示,CVE-2026-3914 和 CVE-2026-3915 各赚取了 43,000 美元,而 CVE-2026-3916 则赚取了 36,000 美元。
| CVE | 严重性 | 成分 | 问题类型 |
|---|---|---|---|
| CVE-2026-3913 | 批判的 | 网络机器学习 | 堆缓冲区溢出 |
| CVE-2026-3914 | 高的 | 网络机器学习 | 整数溢出 |
| CVE-2026-3915 | 高的 | 网络机器学习 | 堆缓冲区溢出 |
| CVE-2026-3916 | 高的 | 网络语音 | 越界读取 |
| CVE-2026-3917 | 高的 | 代理商 | 释放后使用 |
| CVE-2026-3918 | 高的 | 网络MCP | 释放后使用 |
| CVE-2026-3919 | 高的 | 扩展 | 释放后使用 |
| CVE-2026-3920 | 高的 | 网络机器学习 | 越界内存访问 |
来源:Google Chrome 发布公告。
为什么此更新很重要
浏览器仍然是任何 PC 上最容易暴露的软件之一,因为它们整天处理不受信任的 Web 内容。浏览器引擎中的缺陷或面向 Web 的组件可以为攻击者提供一条使浏览器崩溃、逃避安全边界或在受害者打开恶意页面后运行不需要的代码的路径。这就是为什么即使 Google 没有报告主动利用情况,Chrome 安全更新也很重要。
此版本之所以脱颖而出,还因为 WebML 多次出现在高严重性列表中。这并不意味着该功能受到主动攻击,但它确实表明了安全研究人员在此周期中关注的重点。
用户现在应该做什么
- 打开 Chrome
- 单击三点菜单
- 转到<strong>帮助</strong>
- 点击<strong>关于 Google Chrome</strong>
- 让 Chrome 下载更新
- 重新启动浏览器以应用补丁
谷歌表示,稳定版的推出将在未来几天和几周内继续进行,因此某些系统可能会比其他系统稍晚收到它。
版本详情
| 平台 | 更新稳定版本 |
|---|---|
| Linux | 146.0.7680.71 |
| 视窗 | 146.0.7680.71/72 |
| 苹果 | 146.0.7680.71/72 |
来源:Google Chrome 版本。
FAQ
Chrome 146 更新修复了哪些问题?
它修复了 29 个安全漏洞,包括一个严重缺陷和多个高严重性错误。
本次更新中最严重的错误是什么?
Google 将 CVE-2026-3913(WebML 中的一个严重堆缓冲区溢出)列为此版本中的首要问题。
谷歌是否表示这些缺陷正在被利用?
3 月 10 日的桌面公告并未表示它们正在受到积极的利用。它表示错误详细信息可能会受到限制,直到更多用户更新为止。
如何安装修复程序?
转到“帮助”,然后转到“关于 Google Chrome”,并在下载更新后重新启动浏览器。