谷歌發布了新的桌面版 Chrome 穩定版更新,修復了 27 個安全漏洞,其中包括瀏覽器 Ozone 和 Views 元件中的兩個嚴重的釋放後使用漏洞。
這7 月 8 日 Chrome 穩定版更新在 Windows 和 macOS 上將 Chrome 移至版本 150.0.7871.114/.115,在 Linux 上將 Chrome 移至版本 150.0.7871.114。谷歌表示,該功能將在未來幾天或幾週內推出。
這兩個嚴重缺陷被追蹤為 CVE-2026-15112 和 CVE-2026-15129。兩者都是釋放後使用漏洞,這是一種記憶體安全漏洞,如果攻擊者找到可靠的利用路徑,可能會導致嚴重的瀏覽器危害。
Google 在此 Chrome 更新中修復了哪些內容
此次更新涵蓋了廣泛的 Chrome 元件,包括 Ozone、Views、V8、ANGLE、擴充功能、自動填入、編解碼器、WebRTC、付款、表單、DOM、導航和 IndexedDB。
谷歌將此次發布與其Chrome 安全頁面並表示,在大多數用戶收到修復之前,一些錯誤詳細資訊將受到限制。這是瀏覽器更新的標準做法,因為公開的技術細節可以幫助攻擊者在用戶修補之前建立漏洞。
這些缺陷包括記憶體損壞問題、對不受信任的輸入驗證不足、不適當的實作錯誤以及策略執行缺陷。谷歌並未在發布說明中聲明,截至發佈時,這 27 個問題中的任何一個都已被利用。
| Chrome平台 | 更新版本 | 推出狀態 |
|---|---|---|
| 視窗 | 150.0.7871.114/.115 | 將在未來幾天和幾週內推出 |
| macOS | 150.0.7871.114/.115 | 將在未來幾天和幾週內推出 |
| Linux | 150.0.7871.114 | 將在未來幾天和幾週內推出 |
CVE-2026-15112 是 Chrome 平台抽象層 Ozone 中的釋放後使用漏洞。 CVE-2026-15129 是 Views 中的釋放後使用漏洞,Views 是基於 Chromium 的瀏覽器中用於使用者介面元素的框架。
當軟體在釋放記憶體後繼續使用記憶體時,就會發生釋放後使用錯誤。在瀏覽器中,此類缺陷可能會變得危險,因為攻擊者可能會嘗試透過精心設計的網頁、文件、媒體文件或其他瀏覽器處理的內容來觸發記憶體損壞。
這CVE計劃為供應商和研究人員提供公開揭露的安全漏洞的通用識別碼。在這種情況下,這兩個關鍵識別碼可協助安全團隊追蹤裝置是否已收到 Chrome 修復程式。
| CVE ID | 問題類型 | 受影響的組件 | 嚴重性 |
|---|---|---|---|
| CVE-2026-15112 | 釋放後使用 | 臭氧 | 批判的 |
| CVE-2026-15129 | 釋放後使用 | 意見 | 批判的 |
| CVE-2026-15132 | 未初始化使用 | V8 | 高的 |
| CVE-2026-15108 | 整數溢出 | 擴充API | 高的 |
| CVE-2026-15121 | 釋放後使用 | 網路RTC | 高的 |
高嚴重性錯誤也會影響 V8、WebRTC、擴充和表單
更新還修復了 23 個高嚴重性漏洞。其中一些涉及自動填入、擴充功能、表單、付款、輸入、核心、WebRTC、視圖和興趣群組等元件中的釋放後使用錯誤。
一個值得注意的高嚴重性問題是 CVE-2026-15132,這是 Chrome 的 JavaScript 引擎 V8 中的未初始化使用漏洞。 V8 缺陷經常引起關注,因為 JavaScript 直接在網站上運行,並且可能成為瀏覽器漏洞鏈的一部分。
另一個高嚴重性問題 CVE-2026-15108 透過整數溢位影響擴充 API。與擴充功能相關的缺陷很重要,因為瀏覽器擴充功能可以擁有強大的權限並與敏感的瀏覽活動互動。
- 記憶體安全錯誤會影響 Ozone、視圖、自動填入、WebRTC、支付、表單、核心、輸入和擴充。
- 輸入驗證缺陷會影響 WebAppInstalls、編解碼器、DOM 和導覽。
- 實作問題會影響 GetUserMedia、WebGL 和 Forms。
- 策略執行缺陷會影響密碼和導航。
- 谷歌將部分發布歸功於內部工作和外部研究人員。
為什麼瀏覽器記憶體錯誤需要快速修補
瀏覽器漏洞具有很高的風險,因為 Chrome 每天都會處理不受信任的網頁內容。成功的利用可以從惡意網站、受損的合法頁面或透過廣告、重新導向或嵌入媒體載入的內容開始。
Chrome 的沙箱和其他強化功能減少了單一錯誤可能造成的損害,但攻擊者經常將漏洞連結在一起。當與沙箱逃逸或權限升級錯誤結合使用時,渲染器中的記憶體損壞缺陷可能會變得更加危險。
Google表示,許多 Chrome 安全漏洞是透過 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 和 AFL 等工具檢測到的。這Chrome 穩定版註釋也說明了為什麼自動化測試對於具有許多公開元件的瀏覽器仍然很重要。
| 錯誤類別 | 為什麼這很重要 |
|---|---|
| 釋放後使用 | 瀏覽器重複使用已釋放的記憶體後可能會損壞內存 |
| 未初始化使用 | 可能暴露不可預測的記憶體狀態或觸發不安全行為 |
| 整數溢出 | 可能會破壞大小計算並導致不安全的記憶體訪問 |
| 驗證不足 | 可以讓意外輸入繞過瀏覽器假設 |
| 政策執行問題 | 可以削弱安全邊界或瀏覽器規則 |
如何立即更新 Chrome
Chrome通常會在背景安裝更新,但使用者仍需要重新啟動瀏覽器才能套用它們。谷歌的Chrome 更新說明說用戶可以透過打開 Chrome,選擇右上角的選單,然後轉到“幫助”,然後轉到“關於 Google Chrome”來手動檢查。
在「關於 Google Chrome」頁面上,瀏覽器會檢查更新並顯示目前版本號。如果 Chrome 下載更新,使用者應選擇「重新啟動」以完成應用程式。
Linux 用戶還應確保 Chrome 已透過其套件管理器收到更新。企業應透過端點管理工具驗證更新狀態,尤其是在瀏覽器重新啟動延遲數天的系統上。
- 在電腦上開啟 Chrome。
- 選擇右上角的三點選單。
- 轉到幫助。
- 選擇關於 Google Chrome。
- 安裝可用的更新並重新啟動 Chrome。
IT 團隊應該做些什麼
組織應將此視為優先瀏覽器更新,因為它包含兩個嚴重漏洞以及暴露的瀏覽器元件中的許多高嚴重性錯誤。
安全團隊應確認 Windows、macOS 和 Linux 端點已遷移到 Chrome 150.0.7871.114 或更高版本,Windows 和 macOS 也根據頻道和推出時間接收 150.0.7871.115 版本。
這Chrom 安全指南解釋說,Chrome 的防禦模型取決於多個層面,包括沙箱、漏洞緩解、網路內容的安全處理和及時更新。這CVE列表幫助團隊將這些缺陷對應到漏洞掃描程式、修補程式儀表板和內部修復通知單。
- 跨託管端點審核 Chrome 版本。
- 當使用者延遲更新時,強制瀏覽器重新啟動。
- 監視漏洞掃描程式以取得列出的 CVE 識別碼。
- 首先優先考慮面向網路和高風險的使用者群體。
- 請檢查擴充策略,因為一個高嚴重性缺陷會影響擴充 API。
為什麼用戶不應該等待
谷歌尚未分享許多漏洞的完整技術細節,這降低了立即被模仿和利用的可能性。這種限制不會永遠持續下去,攻擊者經常在發布後對補丁進行逆向工程。
對於日常用戶來說,最安全的步驟很簡單:更新 Chrome 並重新啟動瀏覽器。讓 Chrome 長時間打開可能會延遲安全性更新的最終安裝,即使瀏覽器已經下載了它們。
同樣的建議也適用於管理共用工作站、開發人員電腦和員工筆記型電腦的管理員。在更新版本實際運作之前,瀏覽器修補程式並不能完全保護用戶,因此請檢查關於 Google Chrome 頁面仍然是確認修復的最快方法。
FAQ
最新的 Chrome 更新修復了哪些問題?
最新的 Chrome 穩定版桌面更新修復了 27 個安全漏洞,其中包括兩個嚴重的釋放後使用漏洞,編號為 CVE-2026-15112 和 CVE-2026-15129。
哪些 Chrome 版本包含安全修復?
Google 將 Windows 和 macOS 的固定桌面版本列為 150.0.7871.114/.115,將 Linux 的固定桌面版本列為 150.0.7871.114。
CVE-2026-15112 和 CVE-2026-15129 是否重要?
是的。谷歌將這兩個漏洞評為嚴重。 CVE-2026-15112 影響 Ozone,而 CVE-2026-15129 影響視圖。
這些 Chrome 漏洞是否被廣泛利用?
谷歌並未在發布說明中聲明,截至發佈時,這 27 個漏洞中的任何一個都已被廣泛利用。
如何手動更新 Chrome?
開啟 Chrome,選擇三點選單,前往“說明”,選擇“關於 Google Chrome”,等待 Chrome 檢查更新,然後選擇“重新啟動”(如果有可用更新)。
