文章总结： GoogleChromeDawn组件存在释放后重用漏洞CVE-2026-5281，攻击者可通过恶意网页触发漏洞实现沙箱绕过和远程代码执行，该漏洞已被在野利用。影响版本为Windows/Mac版低于146.0.7680.177/178、Linux版低于146.0.7680.177。官方已发布修复版本，建议用户立即更新至最新版，临时措施包括关闭未使用功能、遵循最小权限原则。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,应用安全,解决方案,WEB安全

【漏洞通告】Google Chrome Dawn 释放后重用漏洞（CVE-2026-5281）

深瞳漏洞实验室 深瞳漏洞实验室

深信服千里目安全技术中心

2026年4月2日 16:32 北京

漏洞名称：

Google Chrome Dawn 释放后重用漏洞(CVE-2026-5281)

组件名称：

谷歌-Chrome

影响范围：

Google Chrome(Windows/Mac) < 146.0.7680.177/178 Google Chrome(Linux) < 146.0.7680.177

漏洞类型：

释放重引用

利用条件：

1、用户认证：无需用户认证

2、前置条件：默认配置

3、触发方式：远程

综合评价：

<综合评定利用难度>：容易，无需授权即可获取敏感信息。

<综合评定威胁等级>：高危，可远程代码执行。

官方解决方案：

已发布

漏洞分析

组件介绍

Google Chrome是一款由Google公司开发的网页浏览器，该浏览器基于其他开源软件撰写，包括WebKit，目标是提升稳定性、速度和安全性，并创造出简单且有效率的使用者界面。

漏洞简介

2026年4月2日，深瞳漏洞实验室监测到一则谷歌-Chrome组件存在释放重引用漏洞的信息，漏洞编号：CVE-2026-5281，漏洞威胁等级：高危。

Google Chrome Dawn 存在释放后重用漏洞，由于在图形资源生命周期管理过程中，相关内存已被释放后程序仍未正确清空引用，继续对该已释放内存进行非法访问与操作，攻击者可通过构造恶意网页触发该漏洞，结合漏洞链利用后实现浏览器沙箱绕过并在目标设备上远程执行任意代码。目前该漏洞已发现在野利用。

影响范围

目前受影响的谷歌-Chrome版本：

Google Chrome(Windows/Mac) < 146.0.7680.177/178 Google Chrome(Linux) < 146.0.7680.177

解决方案

如何检测组件系统版本

1、如何检测组件系统版本

(1) 点击右上角的“更多”图标，选择帮助 -> 关于Google Chrome

(2) 查看当前版本

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。 下载链接：https://www.google.cn/chrome/

临时修复建议

• 关闭未使用的功能模块，减少潜在攻击入口。

• 遵循最小权限原则，严控各类敏感操作权限范围。

• 非必要不暴露服务到公网，限制访问源为可信范围。

• 定期更新系统及各类组件至安全版本，及时修补已知隐患。

参考链接

https://chromereleases.googleblog.com/2026/03/stable-channel-update-for-desktop_31.html

时间轴

2026/04/02

深瞳漏洞实验室监测到Google Chrome Dawn 释放后重用漏洞信息。

2026/04/02

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：深信服千里目安全技术中心 深瞳漏洞实验室 深瞳漏洞实验室《【漏洞通告】Google Chrome Dawn 释放后重用漏洞（CVE-2026-5281）》