随着 Google 发布修复程序，CISA 警告 Chrome 零日漏洞被积极利用

CISA 已添加谷歌已将新利用的 Chrome 漏洞 CVE-2026-5281 添加到其已知利用的漏洞目录中，并命令联邦机构在 2026 年 4 月 15 日之前解决该漏洞。该漏洞影响 Chromium 使用的开源 WebGPU 组件 Google Dawn，谷歌表示已经发现了针对该漏洞的利用。

谷歌修复了这个问题2026 年 3 月 31 日，在适用于 Windows 和 Mac 的 Chrome 146.0.7680.177/.178 以及适用于 Linux 的 Chrome 146.0.7680.177 中，谷歌在其发行说明中将 CVE-2026-5281 确定为 Dawn 中的一个高严重性的释放后使用错误，并表示在更多用户收到修复程序之前，详细信息将受到限制。

对于用户和 IT 团队来说，信息很简单：立即更新 Chrome。由于该缺陷存在于 Chromium 的图形堆栈中，而不是 Chrome 独有的功能中，因此其他基于 Chromium 的浏览器可能也需要来自自己的供应商的更新。例如，Vivaldi 表示，其 4 月 1 日的桌面和 Android 更新包括对 CVE-2026-5281 的修复，并指出该漏洞已被利用。

CISA 的 KEV 条目描述了 CVE-2026-5281作为 Google Dawn 的释放后使用漏洞，首先破坏浏览器渲染器进程的远程攻击者可以通过精心设计的 HTML 页面执行任意代码。该机构于 4 月 1 日将该漏洞添加到 KEV 目录中，并根据《约束性操作指令 22-01》为联邦民事行政部门机构设定了 4 月 15 日的补救期限。

谷歌的咨询证实技术根本原因。该公司将 CVE-2026-5281 列为 Dawn 中的高严重性释放后使用，将该报告归功于研究人员于 2026 年 3 月 10 日提交的报告，并指出该漏洞在野外存在。

这种组合使得这比常规的浏览器修复更加紧迫。 KEV 列表意味着 CISA 拥有足够的现实世界滥用证据，需要跨联邦网络采取行动，而 Google 的措辞消除了攻击者已经在尝试利用该漏洞的任何疑虑。

为什么这个缺陷比 Chrome 更重要

CVE-2026-5281 存在于 Dawn 中，Chromium 将其用于 WebGPU 相关功能。这意味着风险并不仅仅限于 Chrome。通常基于 Chromium 构建的浏览器在用户得到充分保护之前需要引入相同的上游修复程序。

我们已经有一个明显的例子了。维瓦尔第都说了4 月 1 日发布的桌面和 Android 更新升级到 Chromium 146.0.7680.182，并包含 CVE-2026-5281 的修复程序，明确指出该漏洞存在已知的利用情况。

这不会在同一天自动确认每个基于 Chromium 的浏览器的补丁状态。它确实表明下游供应商需要发布自己的更新，这就是为什么组织应该检查托管系统上允许的每个浏览器，而不是假设 Chrome 补丁覆盖整个浏览器。

组织现在应该做什么

速览

• CVE：CVE-2026-5281
• 组件：Chromium 中的 Google Dawn / WebGPU 堆栈
• Bug 类型：释放后使用
• 利用状态：利用存在于野外
• Google Chrome 修复版本：Windows 和 Mac 为 146.0.7680.177/.178，Linux 为 146.0.7680.177
• CISA KEV 添加日期：2026 年 4 月 1 日
• FCEB 机构的 CISA 截止日期：2026 年 4 月 15 日

FAQ