Google修補今年第4個Chrome零時差漏洞

這個版本是繼一星期前的146.0.7680.164/ 146.0.7680.165後再釋出更新版。最新Chrome修補了21項安全漏洞，其中包含19項高風險漏洞。值得注意的是，Google提醒CVE-2026-5281已經遭到濫用。

CVE-2026-5281影響Chrome/Chromium中的Dawn元件。Dawn為WebGPU API的一部份。漏洞為一使用已釋放記憶體（use after free）漏洞，可讓遠端攻擊者誘使用戶造訪變造過的HTML網頁，破壞渲染流程而在用戶裝置上執行任意程式碼。美國主管機關CISA已將本漏洞列入已知受濫用漏洞（Known Exploited Vulnerability，KEV）名單。

這是今年Google修補的第4個零時差漏洞。由於該漏洞影響Chromium-based瀏覽器元件，因此除了Google Chrome，Microsoft Edge和Opera、Vivaldi也必須儘速升級到最新版本。

本版本修補的漏洞分布來看，以GPU/圖形鏈（ANGLE / WebGL / Dawn / Compositing）漏洞最多約佔40%，次多類為媒體處理（WebCodecs / Codecs）。從漏洞類型來看，則以使用已釋放（Use-after-free）類最多，突顯記憶體安全問題的重要性。其他類型包括堆積緩衝區溢位（Heap buffer overflow）、越界讀取（Out-of-bounds read）及整數溢出（Integer overflow），也都是RCE或沙箱繞過（sandbox escape）的前置條件。