文章总结： Google发布Chrome更新至144.0.7559.132修复高危漏洞CVE-2026-1862与CVE-2026-1861。前者涉及V8引擎类型混淆，后者为libvpx堆缓冲区溢出，均可能导致任意代码执行及拒绝服务攻击。鉴于潜在风险，建议用户立即检查并更新浏览器版本以保障安全。 综合评分： 70 文章分类： 漏洞预警,漏洞分析,WEB安全

Chrome 漏洞可导致攻击者执行任意代码并引发系统崩溃

邑安科技 邑安科技

邑安全

2026年2月5日 11:17 广东

更多全球网络安全资讯尽在邑安全

Google 已针对 Chrome 稳定版发布关键安全更新，修复了两个高危漏洞，这些漏洞可能导致用户遭受任意代码执行（ACE）和拒绝服务（DoS）攻击。

本次更新将 Windows 和 macOS 版本升级至 144.0.7559.132/.133，Linux 版本升级至 144.0.7559.132。这家科技巨头确认，更新将在未来数日或数周内逐步推送。这些补丁专门修复了浏览器 JavaScript 引擎和视频处理库中的内存损坏问题。

漏洞详情

更新修复了两个被归类为”高危”的安全缺陷。成功利用这些漏洞通常需要用户访问特制网站，从而在浏览器渲染进程中触发攻击。

（CVE-2026-1862）：V8 引擎类型混淆漏洞

最严重的漏洞存在于 Google 开源的高性能 JavaScript 和 WebAssembly 引擎 V8 中。当引擎被诱骗使用不兼容的类型访问内存资源时（例如将整数视为指针），就会发生类型混淆漏洞。

攻击者经常利用 V8 类型混淆漏洞来操控内存指针。这种操控允许他们越界读取或写入内存，可能导致在沙箱环境中执行任意代码。该漏洞由研究员 Chaoyuan Peng（@ret2happy）报告。

（CVE-2026-1861）：libvpx 堆缓冲区溢出漏洞

第二个漏洞存在于 VP8 和 VP9 视频编码格式的参考软件库 libvpx 中。当进程尝试向固定长度的内存缓冲区写入超过其容量的数据时，就会发生堆缓冲区溢出。

在此情况下，攻击者可在网页中嵌入畸形视频流。当 Chrome 尝试使用 libvpx 处理该视频时，溢出可能损坏堆上的相邻内存。这通常会导致浏览器崩溃（DoS），但也可与其他漏洞利用链结合实现代码执行。

漏洞信息表

| CVE 编号 | 严重等级 | 描述 | 组件 | 报告者 | | — | — | — | — | — | | CVE-2026-1862 | 高危 | 类型混淆 | V8 引擎 | Chaoyuan Peng | | CVE-2026-1861 | 高危 | 堆缓冲区溢出 | libvpx | Google 内部 |

缓解措施

Google 未披露这些漏洞是否已被实际利用（0Day 状态），在大多数用户完成更新前将限制漏洞细节公开。但鉴于 V8 和堆溢出漏洞的性质，武器化风险仍然很高。

建议企业管理员和用户立即更新。验证安装步骤如下：

1. 打开 Chrome 并导航至菜单 > 帮助 > 关于 Google Chrome
2. 确保浏览器检查更新并重启至 144.0.7559.132 或更高版本

原文来自: cybersecuritynews.com

原文链接: https://cybersecuritynews.com/chrome-vulnerabilities-arbitrary-code-2/

欢迎收藏并分享朋友圈，让五邑人网络更安全

欢迎扫描关注我们，及时了解最新安全动态、学习最潮流的安全姿势！

推荐文章

1

新永恒之蓝？微软SMBv3高危漏洞（CVE-2020-0796）分析复现

2

重大漏洞预警：ubuntu最新版本存在本地提权漏洞（已有EXP）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：邑安全 邑安科技 邑安科技《Chrome 漏洞可导致攻击者执行任意代码并引发系统崩溃》