文章总结： 谷歌发布Chrome紧急更新，修复三个高危漏洞CVE-2026-3061/3062/3063。漏洞涉及媒体组件越界读取、WebGPU编译器越界读写及DevTools不当实现，可能导致远程代码执行或数据泄露。建议Windows、macOS及Linux用户立即手动检查更新，企业管理员优先部署以规避安全风险。 综合评分： 83 文章分类： 漏洞预警,应用安全,漏洞分析

谷歌Chrome紧急安全更新修复了三个高危漏洞

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月24日 13:11 北京

谷歌发布了 Chrome 浏览器的重要安全更新，向 Windows 和 macOS 用户推送了 145.0.7632.116/117 版本，而 Linux 用户则收到了 144.0.7559.116 版本。

此次更新将在未来几天和几周内逐步推出，旨在解决三个严重漏洞，如果不加以修补，可能会使用户面临重大风险。

鉴于这三个 CVE 都被评为“高危”，谷歌将此级别保留给具有重大利用潜力的漏洞，因此此次更新具有相当大的紧迫性。

其中两个缺陷涉及越界内存访问，这类漏洞通常与其它漏洞结合使用时，会成为远程代码执行或沙箱逃逸链的基础。

强烈建议在 Windows 或 macOS 系统上运行 Chrome 浏览器的组织和个人用户检查其浏览器版本，并在所在地区发布更新后立即进行更新。

Google Chrome 紧急安全更新

第一个问题 CVE-2026-3061 是 Chrome 媒体组件中的一个越界读取漏洞，由安全研究员 Luke Francis 于 2026 年 2 月 9 日报告。

媒体处理管道中的越界读取尤其令人担忧，因为它们可以通过恶意构造的媒体文件或基于 Web 的内容触发，使得通过被入侵的网站进行“路过式攻击”成为一种现实的攻击途径。

CVE-2026-3062 影响 Chrome 内部使用的 WebGPU 着色器编译器 Tint，涉及越界读取和写入操作。该漏洞由研究员 Cinzinga 于 2026 年 2 月 11 日报告，可以说是这三个漏洞中技术上最严重的。

图形或着色器处理中的越界写入漏洞可能导致内存损坏，使攻击者有可能在渲染进程中执行任意代码。随着 WebGPU 的普及，Tint 等组件中的漏洞意味着攻击面正在不断扩大。

第三个漏洞 CVE-2026-3063 涉及 Chrome DevTools 中的不当实现，由 M. Fauzan Wijaya (Gh05t666nero) 于 2026 年 2 月 17 日报告。

虽然此类漏洞通常不如内存损坏漏洞严重，但在特定条件下，开发人员工具中不恰当的实现可能会导致跨域数据泄露、权限滥用或绕过安全边界。

谷歌指出，在大多数用户收到修复程序之前，详细漏洞报告的访问权限仍将受到限制。这种负责任的披露做法有助于缩短漏洞利用窗口期，防止威胁行为者在补丁广泛部署之前利用技术细节进行攻击。

| CVE ID | 严重程度 | 受影响的组件 | 描述 | 记者 | | — | — | — | — | — | | CVE-2026-3061 | 高的 | 媒体 | 越界阅读 | 卢克·弗朗西斯 | | CVE-2026-3062 | 高的 | 色调（WebGPU） | 越界读写 | cinzinga | | CVE-2026-3063 | 高的 | 开发者工具 | 实施不当 | M.Fauzan Wijaya (Gh05t666nero) |

用户应访问 chrome://settings/help 查看当前版本，并手动触发更新，而不是等待自动推送。

鉴于此次更新的严重性评级为“高”，企业管理员应优先通过其管理平台推送此更新。谷歌还赞扬了其内部安全团队，他们通过持续的审计、模糊测试和漏洞研究计划，以及对外部漏洞赏金计划的补充，提供了额外的修复程序。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《谷歌Chrome紧急安全更新修复了三个高危漏洞》