文章总结： 谷歌发布Chrome149安全更新，修复18个安全漏洞，包括4个严重级别和14个高级别漏洞，其中WebGL渲染引擎中的释放后使用漏洞可导致任意代码执行，建议用户立即更新浏览器。 综合评分： 85 文章分类： 漏洞预警,应用安全,终端安全,网络安全,安全运营

Chrome 149 安全更新——修复可导致代码执行攻击的严重漏洞

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年6月25日 19:11 北京

在小说阅读器读本章

去阅读

谷歌发布了 Chrome 浏览器的重要安全更新，将 Windows 和 Mac 的稳定版通道更新至 149.0.7827.196/197 版本，将 Linux 的稳定版通道更新至 149.0.7827.196 版本。

此次更新修复了 18 个安全漏洞，其中包括 4 个严重级别和 14 个高级别漏洞，其中一些漏洞可能允许攻击者在受影响的系统上执行任意代码。

最严重的修复针对的是Chrome WebGL渲染引擎中的“释放后使用”（Use-after-Free，简称UAF）漏洞。CVE-2026-13028由一位匿名研究人员于2026年6月7日报告，而CVE-2026-13032则由谷歌于6月13日内部发现。

UAF 缺陷是指程序在内存被释放后继续引用该内存，这可能使攻击者劫持执行流程并运行恶意代码。

CVE-2026-13033 也被评为严重漏洞，它修复了 Blink 的 InterestGroups 组件中的越界读取漏洞；CVE-2026-13038 则修复了 Chrome 自动填充子系统中的另一个释放后使用漏洞。这两个漏洞都是 Google 在 2026 年 6 月 13 日至 14 日期间内部发现的。

此次更新修复了涉及多个 Chrome 组件的 14 个高危漏洞：

| CVE ID | 严重程度 | 漏洞类型 | 受影响的组件 | | — | — | — | — | | CVE-2026-13021 | 高的 | 实施不当 | 设备绑定会话凭据 | | CVE-2026-13022 | 高的 | 实施不当 | 自动填充 | | CVE-2026-13023 | 高的 | 未初始化的使用 | GPU | | CVE-2026-13024 | 高的 | 输入验证不足 | 导航 | | CVE-2026-13025 | 高的 | 输入验证不足 | 开发者工具 | | CVE-2026-13026 | 高的 | 免费期后使用 | 数字证书 | | CVE-2026-13027 | 高的 | 免费期后使用 | 文件系统 | | CVE-2026-13029 | 高的 | 免费期后使用 | Web 身份验证 | | CVE-2026-13030 | 高的 | 未初始化的使用 | GPU | | CVE-2026-13031 | 高的 | 免费期后使用 | 眨 | | CVE-2026-13034 | 高的 | 实施不当 | 密码 | | CVE-2026-13035 | 高的 | 免费期后使用 | 蓝牙 | | CVE-2026-13036 | 高的 | 免费期后使用 | 眨 | | CVE-2026-13037 | 高的 | 免费期后使用 | WebView |

UAF 漏洞集中在 WebGL、自动填充、蓝牙和 WebView 等关键浏览器组件中，这表明存在广泛的攻击面，威胁行为者可以利用这些攻击面来实现权限提升或远程代码执行。

Google 指出，在大多数用户更新之前，漏洞详情将保持保密状态，这是防止在补丁广泛部署之前被积极利用的标准做法。

使用 Google 的内部模糊测试和清理工具链（包括 AddressSanitizer、MemorySanitizer 和 libFuzzer）发现了许多漏洞。

用户和企业管理员应立即优先更新 Chrome 浏览器。要手动更新，请依次点击“设置”→“帮助”→“关于 Google Chrome”，然后允许浏览器应用最新版本。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《Chrome 149 安全更新——修复可导致代码执行攻击的严重漏洞》