2026-06-15 04:41:49 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Chrome148版本修复了151个安全漏洞，其中22个为严重级别可导致远程代码执行，主要涉及GPU和Network模块的Use-After-Free与越界写入漏洞。文章指出AI技术正加速漏洞发现进程，并提供了详细的更新检查方法和企业安全建议，强调立即更新浏览器是防范攻击的关键措施。 综合评分： 87 文章分类： 漏洞分析,漏洞预警,解决方案,威胁情报,安全运营

cover_image

Chrome 148 一次修了 151 个漏洞，其中 22 个能直接远程执行代码——你的浏览器该更新了

原创

RCS-TEAM安全团队 RCS-TEAM安全团队

RCS-TEAM

2026年6月2日 16:21 北京

在小说阅读器读本章

去阅读

Chrome 148 一次修了 151 个漏洞，其中 22 个能直接远程执行代码——你的浏览器该更新了

一句话总结：Google 本周推送了 Chrome 148 正式版，一口气修复了 151 个安全漏洞，其中 22 个是最高严重级别。这意味着攻击者只要让你点开一个恶意网页，就能在你的电脑上静默执行任意代码。别等了，现在就更新。

151 个漏洞，22 个严重级——这数字听着就吓人

先说结论。

Google 在 2026 年 5 月底推送了 Chrome 148 更新，修复了 151 个安全漏洞，其中 22 个被标记为 Critical（严重）。

这个数字是什么概念？

普通浏览器一次大更新修 10-20 个漏洞就算正常。Chrome 这次修了 151 个，是正常水平的 7-15 倍。其中 22 个严重级漏洞，每一个都能让攻击者通过一个恶意网页直接在你的电脑上执行代码。

不是”可能”，不是”理论上”——是 Remote Code Execution（远程代码执行）。

你访问了一个被植入攻击代码的网站，浏览器中招，攻击者拿到了你电脑上的执行权限。然后呢？然后他想干嘛就干嘛了。

最危险的两个漏洞：CVE-2026-9872 和 CVE-2026-9873

Google 给漏洞定价的 Bug Bounty 计划能告诉我们哪些漏洞最危险——赏金越高，威胁越大。

这次赏金最高的两个漏洞，每个报告者都拿到了 43,000 美元（约合人民币 31 万）：

| CVE 编号 | 漏洞类型 | 影响模块 | 赏金 | | — | — | — | — | | CVE-2026-9872 | Out-of-Bounds Write（越界写入） | GPU 模块 | $43,000 | | CVE-2026-9873 | Use-After-Free（释放后使用） | Network 模块 | $43,000 |

越界写入 是什么意思？程序往内存里写数据时，越过了分配的边界，覆盖了相邻的内存区域。攻击者可以利用这个来改写关键数据结构，甚至注入可执行代码。

Use-After-Free 更阴险。程序释放了一块内存之后，又去读写这块已经被释放的内存。此时这块内存可能已经被重新分配给了其他对象，攻击者就能通过控制这块内存的内容来实现任意代码执行。

这两个漏洞都在浏览器最核心的模块里——GPU 渲染和 Network 网络处理。也就是说，你浏览网页、加载图片、看视频的时候，随时可能触发。

另外 3 个外部研究者报告的严重漏洞

除了上面两个，还有 3 个由外部安全研究者发现的严重级漏洞：

注意看，WebGL 占了两个。WebGL 是浏览器里用来做 3D 图形渲染的技术，很多在线游戏、数据可视化、甚至一些在线设计工具都在用。如果你用过 Figma、在线 3D 建模工具、或者网页版游戏，你就在用 WebGL。

Dawn 是 Chrome 的 WebGPU 实现，这是下一代图形 API，正在逐步替代 WebGL。连这个新模块都有漏洞，说明 Chrome 的图形栈在快速迭代中确实存在安全隐患。

漏洞类型分布：Use-After-Free 是头号杀手

这次修复的 151 个漏洞中，Use-After-Free 占了绝大多数。

这不是 Chrome 独有的问题，而是整个 C/C++ 生态的系统性难题：

▪Use-After-Free：内存管理错误，释放后仍被引用

▪Out-of-Bounds（越界读写）：数组/缓冲区操作没有做边界检查

▪类型混淆（Type Confusion）：把一种类型的数据当成另一种来处理

这三个问题的根源都一样：Chrome 的代码库太大了，C++ 的内存安全性天生不足。

Chrome 的代码库有超过 3500 万行 C/C++ 代码。在这个体量下，内存安全漏洞几乎是不可避免的。这也是为什么 Google 自己也在推动 Rust 替代 C++，但短期内不可能完成。

一个关键趋势：AI 正在改变漏洞发现的方式

Google 官方透露了一个重要信息：这次 151 个漏洞中，大部分是 Google 自己发现的。

从 2026 年 3 月底开始，Chrome 每次更新修复的漏洞数量显著上升——Chrome 148 整个更新周期（包括 beta 和稳定版）总共修复了 超过 350 个漏洞。

为什么突然变多了？

原因很可能是 AI 辅助漏洞挖掘。Google 用 AI 工具对 Chrome 代码库进行自动化分析，发现了大量之前人工审计难以覆盖的漏洞。

但这也带来了一个尴尬的问题：既然 AI 能帮你找漏洞，那攻击者也能用 AI 来找漏洞。

事实上，SecurityWeek 同一天就报道了一条相关新闻——俄罗斯关联的黑客组织 “GreyVibe” 正在用 AI 来增强网络攻击的效率。AI 不只是安全团队的工具，也正在成为攻击者的武器。

这就是现在的网络安全格局：攻防双方都在用 AI，速度越来越快，对抗越来越激烈。

Google 的 Bug Bounty 花了多少钱？

Google 表示，这次已经对外部研究者支付了 超过 13 万美元 的漏洞赏金（10 个漏洞），最终金额可能更高，因为还有部分漏洞的赏金尚未公布。

43,000 美元一个漏洞，10 个漏洞就 13 万美元起步。

但 Google 上个月刚刚 降低了 Chrome 的 Bug Bounty 金额。原因是 AI 工具让漏洞发现的成本大幅下降——以前找一个漏洞可能需要几周的人工审计，现在 AI 工具跑一遍就能发现一堆。

这个决策引发了安全社区的争议。有人认为赏金太高会鼓励”漏洞工厂”，也有人认为降低赏金会打击研究者积极性，反而让漏洞流向黑市。

你的浏览器更新了吗？

Chrome 148 的稳定版已经推送，具体版本号如下：

| 操作系统 | 版本号 | | — | — | | Windows | 148.0.7778.216 / 148.0.7778.217 | | macOS | 148.0.7778.215 / 148.0.7778.216 | | Linux | 148.0.7778.215 |

怎么检查你的 Chrome 版本？

①打开 Chrome

②地址栏输入 chrome://settings/help

③查看当前版本号

如果你的版本号低于上面列出的版本，立即更新。

更新方法：

▪在 chrome://settings/help 页面，Chrome 会自动检查更新

▪如果有更新可用，点击”重新启动”按钮即可

▪更新后浏览器会重启，你的标签页和登录状态都会保留

给所有人的安全检查清单

除了更新 Chrome，我还建议你做以下几件事：

✅ 立即执行

☐检查并更新 Chrome 到 148.0.7778.215+（所有设备）

☐检查 Chrome 衍生浏览器：Edge、Opera、Brave、Vivaldi 都基于 Chromium，同样受影响。确保它们也更新到最新版本

☐检查 Android 上的 Chrome：手机上的 Chrome 也需要更新，去 Play Store 检查

✅ 本周内执行

☐启用 Chrome 的安全浏览功能：chrome://settings/security → 选择”增强型保护”

☐审查浏览器扩展：chrome://extensions → 禁用或删除不需要的扩展。恶意扩展是另一种常见的攻击入口

☐检查是否有可疑的最近访问记录：如果怀疑自己可能中招，检查 chrome://history 和 chrome://net-internals

✅ 长期建议

☐开启自动更新：Chrome 默认自动更新，但企业环境可能被管理员禁用。确认你的浏览器能自动更新

☐使用多浏览器策略：日常浏览用 Chrome，敏感操作（网银、管理后台）用 Firefox 或 Safari，减少单一浏览器的攻击面

☐关注安全更新通知：订阅 Chrome 的安全公告：https://chromereleases.googleblog.com/search/label/Stability%20and%20Security

给企业 IT 管理员的特别提醒

如果你负责企业内的浏览器管理，注意以下几点：

1. 不要延迟更新

Chrome 148 的 22 个严重级漏洞中，很多是 GPU 和 Network 模块的底层问题。这意味着攻击面非常广——任何员工访问任何恶意网站都可能中招。

2. 检查组策略是否禁用了自动更新

很多企业的 Chrome 组策略（GPO）会延迟更新或禁用自动更新。如果你的策略是”延迟 30 天更新”，那这次建议立即调整为”立即更新”。

检查方法：

# Windows 上检查 Chrome 更新策略 reg query "HKLM\SOFTWARE\Policies\Google\Update"/v UpdateDefault &nbsp;# macOS 上检查 Chrome 策略 defaults read com.google.Chrome

3. 考虑紧急推送更新

对于使用 Chrome 的企业，建议通过 MDM（移动设备管理）或组策略紧急推送 Chrome 148 更新，不要等员工自己更新。

4. 监控异常网络流量

由于存在 Network 模块的 Use-After-Free 漏洞（CVE-2026-9873），攻击者可能通过恶意网页建立 C2 通信。建议安全团队关注异常的外联流量，特别是从浏览器进程发起的非常规连接。

写在最后

Chrome 148 这次更新，151 个漏洞、22 个严重级，是近年来最大规模的浏览器安全修复之一。

背后的信号很清晰：

①浏览器依然是攻击者的首选目标——因为它接触面广、攻击面大、用户几乎不会怀疑网页

②AI 正在改变漏洞发现的节奏——安全团队用 AI 找漏洞，攻击者也在用

③C/C++ 的内存安全问题短期内无解——Chrome 3500 万行 C++ 代码，漏洞会持续出现

④更新浏览器的成本几乎为零，但不更新的代价可能是你的整个系统

所以，现在就去做一件事：打开 Chrome，输入 chrome://settings/help，看看你的版本是不是 148.0.7778.215 或更高。

如果不是，点那个”重新启动”按钮。

就这一件事，能挡住 99% 的浏览器端攻击。

本文基于 SecurityWeek 2026 年 5 月 29 日报道整理。原文：https://www.securityweek.com/chrome-148-update-patches-151-vulnerabilities/

数据来源：Google Chrome 安全公告、Chrome 漏洞赏金计划

如果觉得有用，点个”在看”让更多人看到。你的一个转发，可能帮朋友避免一次数据泄露。

SECURITY · RCS-TEAM

关注 RCS-TEAM 安全团队

聚焦安全研究、漏洞分析、攻防技术与行业观察持续输出高质量安全内容

长按识别二维码，立即关注

点击下方公众号名片关注

微信生态内建议同时插入官方“公众号名片”组件，提升关注转化

COMMUNITY · SECURITY GROUP

加入 RCS-TEAM 安全交流群

想继续交流漏洞分析、攻防实践和文章里的细节补充，

欢迎扫码进群。

群内会不定期分享复现思路、工具经验和最新讨论。

扫码即可加入交流，二维码失效可在后台回复「加群」。

实战问题、漏洞思路、工具踩坑都可以在群里继续聊也欢迎直接反馈你想看的后续选题

扫码加入交流群

若二维码失效或群满，请在后台回复「加群」

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：RCS-TEAM RCS-TEAM安全团队 RCS-TEAM安全团队《Chrome 148 一次修了 151 个漏洞，其中 22 个能直接远程执行代码——你的浏览器该更新了》