Google於2月23日發布Chrome穩定通道更新,桌面版Windows與macOS升級至145.0.7632.116/117,Linux為145.0.7632.116,Android版則更新至145.0.7632.120,並同步納入對應的安全修補。此次共修補3項被列為High(高風險)等級的資安漏洞,皆由外部研究人員在今年2月間所通報,影響範圍涵蓋Media元件、WebGPU編譯器Tint,以及開發者工具DevTools。
由於3項漏洞皆涉及記憶體存取或實作邏輯問題,若遭運用,可能導致資料外洩、瀏覽器處理程序異常終止,甚至被用來執行惡意程式碼。Google目前未公布完整技術細節,僅表示將在多數用戶完成更新後再行揭露。
Media元件出現越界讀取漏洞,影音檔案可能成為攻擊載體
CVE-2026-3061屬於越界讀取(Out-of-bounds read)漏洞,影響Chrome的Media元件。所謂越界讀取,是指程式在存取記憶體時讀取到不屬於既定緩衝區範圍的資料。在影音處理情境下,攻擊者可透過特製的影音檔案觸發漏洞,使瀏覽器讀取敏感記憶體內容,增加資訊外洩風險。
WebGPU編譯器Tint同時存在越界讀寫問題,恐導致記憶體遭竄改
CVE-2026-3062影響Chrome內建的Tint元件。Tint為WebGPU Shading Language(WGSL)的編譯器,負責將著色器程式碼轉換為底層可執行格式。該漏洞同時涉及越界讀取與越界寫入(Out of bounds read and write)。相較於單純的讀取問題,越界寫入風險更高。攻擊者若能成功利用,可能竄改記憶體內容,導致瀏覽器處理程序崩潰,或改變程式原有執行流程,進一步執行惡意程式碼。
DevTools實作缺陷削弱隔離防護,可能成為突破沙箱的跳板
第三項漏洞CVE-2026-3063屬於DevTools的不當實作(Inappropriate implementation)問題。DevTools是Chrome內建的開發者工具,用於檢視、除錯與分析網頁內容。若其實作邏輯存在缺陷,可能被攻擊者利用開發者介面作為跳板,削弱原有的沙箱隔離機制,增加突破瀏覽器隔離防護並擴大攻擊面的風險。
Google表示,為避免攻擊者在多數用戶完成更新前,透過逆向分析修補內容而進行濫用,目前暫時限制漏洞細節與相關連結的公開範圍。若漏洞涉及尚未完成修補的第三方共用函式庫,也可能延後揭露。
截至目前,尚未有公開資訊顯示上述漏洞已出現實際濫用跡象。不過由於皆為高風險等級,企業與一般用戶仍應儘速完成更新。
使用者可於Chrome選單進入「關於Google Chrome」頁面檢查更新,下載完成後須重新啟動瀏覽器,修補才會完全生效。建議啟用自動更新機制,以確保能即時套用後續安全修補。
熱門新聞
2026-02-23
2026-02-23
2026-02-20
2026-02-23
2026-02-23
2026-02-23
2026-02-23