文章总结： 谷歌Chrome148版本修复127个安全漏洞，包括3个严重内存管理漏洞（CVE-2026-7896/7897/7898）和31个高危缺陷，涉及Blink、V8等核心组件。漏洞可能导致远程代码执行，谷歌通过自动化工具检测并奖励研究员最高5.5万美元。建议用户立即验证版本并手动更新以防范威胁。 综合评分： 85 文章分类： 漏洞预警,应用安全,网络安全,安全运营,终端安全

谷歌Chrome浏览器发布148版本，修复了127个安全漏洞

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月7日 19:16 北京

在小说阅读器读本章

去阅读

谷歌已正式向稳定版渠道推出 Chrome 148 版本，带来了大规模的安全更新，解决了 Windows、Mac 和 Linux 系统中的 127 个漏洞。

该更新现已推出，Linux 版本为 148.0.7778.96，Windows 和 Mac 版本为 148.0.7778.96 或 148.0.7778.97，修复了几个严重的内存管理漏洞，这些漏洞可能允许攻击者执行任意代码或破坏底层系统。

随着网络威胁日益复杂，本次发布凸显了快速部署补丁的重要性，以便在威胁行为者利用高危浏览器漏洞之前将其武器化，从而缓解这些漏洞。

已解决的关键内存管理漏洞

本次修复周期中，最紧迫的问题之一是三个关键漏洞。其中包括 CVE-2026-7896，这是 Blink 渲染引擎中的一个整数溢出漏洞，外部安全研究人员因发现该漏洞而获得了 43,000 美元的漏洞赏金。

另外两个严重漏洞，编号分别为 CVE-2026-7897 和 CVE-2026-7898，分别涉及 Mobile 组件和 Chromoting 组件中的释放后使用漏洞。这类内存损坏错误仍然是远程代码执行攻击的主要途径。

它们允许恶意行为者诱骗用户加载特制的网页，然后这些网页会覆盖相邻的系统内存以运行未经授权的命令。

修复这些关键漏洞可以防止攻击者绕过浏览器安全沙箱，从而完全控制受影响的设备。

Google 的更新还修复了影响核心浏览器组件的 31 个高危缺陷，包括 V8 JavaScript 引擎、ANGLE、Skia 和 WebRTC。

值得注意的是，安全研究人员因发现 V8 引擎中的越界读写漏洞 CVE-2026-7899 而获得 55,000 美元奖励。另一位研究人员因发现 ANGLE 中的堆缓冲区溢出漏洞（编号为 CVE-2026-7900）而获得 16,000 美元奖励。

为了在这些根深蒂固的内存安全问题进入稳定版本发布渠道之前主动识别它们，谷歌大量依赖其一套先进的自动化安全测试工具。

AddressSanitizer、MemorySanitizer、libFuzzer 和 Control Flow Integrity 等检测框架在整个软件开发流程中发挥了至关重要的作用，用于检测释放后使用、未初始化使用和越界写入等情况。

这些自动化工具模拟了无数种攻击场景，以确保浏览器代码能够抵御内存操纵技术。

企业安全管理员和个人用户应通过打开 Chrome 设置菜单手动验证浏览器版本，因为自动更新将在未来几周内逐步推出。

虽然谷歌可能会限制公众访问特定错误详情，直到大多数用户成功更新为止，但这些修复的数量之多、严重性之大，使得立即修复成为当务之急。

延迟此次更新可能会使企业网络和个人设备面临被恶意利用的风险。确保系统完全打上补丁是抵御攻击者利用这些新披露的漏洞的最有效防御措施。

Chrome 严重和高危漏洞表

| CVE | Severity | Component | Vulnerability Type | | — | — | — | — | | CVE-2026-7896 | Critical | Blink | Integer overflow | | CVE-2026-7897 | Critical | Mobile | Use after free | | CVE-2026-7898 | Critical | Chromoting | Use after free | | CVE-2026-7899 | High | V8 | Out of bounds read and write | | CVE-2026-7900 | High | ANGLE | Heap buffer overflow | | CVE-2026-7901 | High | ANGLE | Use after free | | CVE-2026-7902 | High | V8 | Out of bounds memory access | | CVE-2026-7903 | High | ANGLE | Integer overflow | | CVE-2026-7904 | High | Fonts | Out of bounds read | | CVE-2026-7905 | High | Media | Insufficient validation of untrusted input | | CVE-2026-7906 | High | SVG | Use after free | | CVE-2026-7907 | High | DOM | Use after free | | CVE-2026-7908 | High | Fullscreen | Use after free | | CVE-2026-7909 | High | ServiceWorker | Inappropriate implementation | | CVE-2026-7910 | High | Views | Use after free | | CVE-2026-7911 | High | Aura | Use after free | | CVE-2026-7912 | High | GPU | Integer overflow | | CVE-2026-7913 | High | DevTools | Insufficient policy enforcement | | CVE-2026-7914 | High | Accessibility | Type Confusion | | CVE-2026-7915 | High | DevTools | Insufficient data validation | | CVE-2026-7916 | High | InterestGroups | Insufficient data validation | | CVE-2026-7917 | High | Fullscreen | Use after free | | CVE-2026-7918 | High | GPU | Use after free | | CVE-2026-7919 | High | Aura | Use after free | | CVE-2026-7920 | High | Skia | Use after free | | CVE-2026-7921 | High | Passwords | Use after free | | CVE-2026-7922 | High | ServiceWorker | Use after free | | CVE-2026-7923 | High | Skia | Out of bounds write | | CVE-2026-7924 | High | Dawn | Uninitialized Use | | CVE-2026-7925 | High | Chromoting | Use after free | | CVE-2026-7926 | High | PresentationAPI | Use after free | | CVE-2026-7927 | High | Runtime | Type Confusion | | CVE-2026-7928 | High | WebRTC | Use after free | | CVE-2026-7929 | High | MediaRecording | Use after free |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《谷歌Chrome浏览器发布148版本，修复了127个安全漏洞》