上週Google接連在3月12日與13日發布公告,修補Chrome兩項資安漏洞CVE-2026-3909與CVE-2026-3910,這些漏洞的影響範圍涵蓋電腦版與安卓版用戶,而且都已出現遭到利用的現象,美國網路安全暨基礎設施安全局(CISA)於3月13日將其加入已遭利用的漏洞名冊(KEV),要求聯邦機構於3月27日前完成修補。Windows、macOS,以及Linux版用戶應儘速升級Chrome至146.0.7680.80版、安卓用戶更新至146.0.76380.119版緩解漏洞。
這些漏洞都是由Google威脅分析團隊(TAG)於3月10日發現,其中的CVE-2026-3910涉及V8元件的不當實作,另一個漏洞CVE-2026-3909為Skia元件的記憶體越界寫入弱點,但Google未進一步說明細節。
根據美國國家漏洞資料庫(NVD)登記的內容,我們可以看到更多資訊:兩個漏洞都能透過特製HTML網頁觸發,CVSS風險評分皆為8.8分。關於漏洞具體造成的資安風險,NVD資料庫註明CVE-2026-3910可被攻擊者用於在沙箱環境執行任意程式碼;至於CVE-2026-3909,則可能被用於越界記憶體存取。
回顧近期Chrome安全性更新,Google一個月前曾修補另一個零時差漏洞。2月13日該公司發布電腦版Chrome更新145.0.7632.75與145.0.7632.76,修補已遭利用的CSS元件高風險漏洞CVE-2026-2441,此漏洞發生的原因是記憶體釋放後再存取(Use After Free),風險值評為8.8。
熱門新聞
2025-06-02
2026-03-13
2026-03-14
2026-03-13
2026-03-12
2026-03-13
2026-03-13
2026-03-13