2026-06-18 06:13:08 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： Google紧急发布Chrome安全更新，修复33个安全漏洞，其中7个为关键级内存安全漏洞（如释放后重用），影响WebShare、WebView、密码管理等核心组件，攻击者可实现远程代码执行。建议用户立即升级至最新版本，企业需监控异常活动并限制扩展安装。 综合评分： 85 文章分类： 漏洞预警,应用安全,终端安全,网络安全,安全运营

cover_image

Google紧急发布Chrome安全更新，修复可致任意代码执行的关键漏洞

网安百色

2026年6月17日 18:44 广西

在小说阅读器读本章

去阅读

Google已向全球用户推送Chrome紧急安全更新，修复多个关键漏洞。此次更新将Windows/macOS版Chrome升级至149.0.7827.155/.156，Linux版升级至149.0.7827.155。鉴于漏洞的高危性与可利用性，安全研究人员及企业防护团队必须立即应用补丁。

一、漏洞核心风险

高危漏洞集中爆发

本次更新共修复33个安全漏洞，其中7个被标记为”关键”级别。

主要风险类型为内存安全漏洞（如释放后重用），攻击者可借此实现远程代码执行（RCE）。

受影响组件覆盖浏览器核心功能：

WebShare（网页内容共享）

WebView（嵌入式网页渲染）

Digital Credentials（数字凭证）

密码管理与Web认证模块

攻击面显著扩大，恶意网页可直接触发漏洞执行任意代码。

漏洞利用链威胁

释放后重用（Use-after-free）漏洞因内存管理缺陷，使攻击者能操控已释放的内存区域。

结合Chrome的高市场占有率，成功利用可能导致：

大规模系统沦陷

用户凭证窃取

间谍软件或勒索软件投递

二、关键漏洞详情

7个关键漏洞（CVSS评分均≥7.8）

| CVE编号 | 漏洞位置 | 报告时间 | 风险本质 | | — | — | — | — | | CVE-2026-12437 | WebShare | 2026-05-25 | 释放后重用，可执行任意代码 | | CVE-2026-12438 | WebView | 2026-05-27 | 实现逻辑缺陷，绕过安全策略 | | CVE-2026-12439 | Digital Credentials | 2026-06-03 | 释放后重用，突破凭证隔离机制 | | CVE-2026-12440 | Digital Credentials | 2026-06-03 | 释放后重用，关联凭证数据泄露 | | CVE-2026-12441 | File Input | 2026-06-05 | 释放后重用，操控文件上传流程 | | CVE-2026-12442 | 密码管理模块 | 2026-06-09 | 释放后重用，窃取加密存储的密码 | | CVE-2026-12443 | Web认证 | 2026-06-11 | 释放后重用，劫持身份验证流程 |

其他高危风险组件

远程访问与扩展生态：

Chromoting（远程桌面）及扩展程序存在多个释放后重用漏洞（CVE-2026-12444等），诱导用户安装恶意扩展即可触发攻击。

实时通信功能：

WebRTC与媒体模块的堆缓冲区溢出（CVE-2026-12447等）可通过特制音视频流量触发，导致系统崩溃或信息泄露。

输入验证缺陷：

密码管理、文件系统访问等模块存在策略执行不足问题（CVE-2026-12460等），攻击者可绕过安全限制。

三、修复与应对建议

紧急处置措施

立即升级至最新版本：

通过设置 → 关于Chrome 手动触发更新，或等待自动推送完成。

企业环境优先级：

验证终端设备的Chrome版本合规性

监控异常浏览器活动（如非预期进程创建）

限制非必要扩展安装权限，防范恶意扩展链攻击

漏洞防御背景

Google未公开技术细节以避免漏洞被武器化，但内存破坏类漏洞高度可能被组合利用。

攻击者通常将此类漏洞与沙箱逃逸技术结合，实现系统级控制。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色《Google紧急发布Chrome安全更新，修复可致任意代码执行的关键漏洞》