隨著 Google 發布修復程序，CISA 警告 Chrome 零日漏洞被積極利用

CISA 已新增谷歌已將新利用的 Chrome 漏洞 CVE-2026-5281 添加到其已知利用的漏洞目錄中，並命令聯邦機構在 2026 年 4 月 15 日之前解決該漏洞。該漏洞影響 Chromium 使用的開源 WebGPU 元件 Google Dawn，Google表示已經發現了針對該漏洞的利用。

谷歌修復了這個問題2026 年 3 月 31 日，在適用於 Windows 和 Mac 的 Chrome 146.0.7680.177/.178 以及適用於 Linux 的 Chrome 146.0.7680.177 中，谷歌在其發行說明中將 CVE-2026-5281 確定為 Dawn中的一個高嚴重性的釋放後使用錯誤，並表示在更多用戶收到修復程序之前，詳細資訊將受到限制。

對於使用者和 IT 團隊來說，資訊很簡單：立即更新 Chrome。由於該缺陷存在於 Chromium 的圖形堆疊中，而不是 Chrome 獨有的功能中，因此其他基於 Chromium 的瀏覽器可能也需要來自自己的供應商的更新。例如，Vivaldi 表示，其 4 月 1 日的桌面和 Android 更新包括對 CVE-2026-5281 的修復，並指出該漏洞已被利用。

CISA 的 KEV 條目描述了 CVE-2026-5281作為 Google Dawn 的釋放後使用漏洞，首先破壞瀏覽器渲染器程序的遠端攻擊者可以透過精心設計的 HTML 頁面執行任意程式碼。該機構於 4 月 1 日將漏洞添加到 KEV 目錄中，並根據《約束性操作指令 22-01》為聯邦民事行政部門機構設定了 4 月 15 日的補救期限。

谷歌的諮詢證實技術根本原因。該公司將 CVE-2026-5281 列為 Dawn 中的高嚴重性釋放後使用，將該報告歸功於研究人員於 2026 年 3 月 10 日提交的報告，並指出該漏洞在野外存在。

這種組合使得這比常規的瀏覽器修復更加緊迫。 KEV 清單意味著 CISA 擁有足夠的現實世界濫用證據，需要跨聯邦網路採取行動，而 Google 的措辭消除了攻擊者已經在嘗試利用漏洞的任何疑慮。

為什麼這個缺陷比 Chrome 更重要

CVE-2026-5281 存在於 Dawn 中，Chromium 將其用於 WebGPU 相關功能。這意味著風險並不僅限於 Chrome。通常基於 Chromium 建構的瀏覽器在使用者得到充分保護之前需要引入相同的上游修復程序。

我們已經有一個明顯的例子了。韋瓦第都說了4 月 1 日發布的桌面和 Android 更新升級到 Chromium 146.0.7680.182，並包含 CVE-2026-5281 的修復程序，明確指出該漏洞存在已知的利用情況。

這不會在同一天自動確認每個基於 Chromium 的瀏覽器的修補程式狀態。它確實表明下游供應商需要發布自己的更新，這就是為什麼組織應該檢查託管系統上允許的每個瀏覽器，而不是假設 Chrome 補丁覆蓋整個瀏覽器。

組織現在該做什麼

速覽

• CVE：CVE-2026-5281
• 元件：Chromium 中的 Google Dawn / WebGPU 堆疊
• Bug 類型：釋放後使用
• 利用狀態：利用存在於野外
• Google Chrome 修復版本：Windows 和 Mac 為 146.0.7680.177/.178，Linux 為 146.0.7680.177
• CISA KEV 新增日期：2026 年 4 月 1 日
• FCEB 機構的 CISA 截止日期：2026 年 4 月 15 日

FAQ