文章总结： 谷歌紧急修复2026年第五个遭在野利用的Chrome0day漏洞CVE-2026-11645，该高危漏洞存在于V8JavaScript引擎中，涉及越界读写问题，可被恶意HTML页面利用在浏览器沙箱中执行任意代码或绕过ASLR等防护机制。文章建议用户立即更新至修复版本149.0.7827.102/103，并提及今年已修复共5个0day漏洞及去年修复8个同类漏洞的历史数据。 综合评分： 82 文章分类： 漏洞分析,漏洞预警,应急响应,威胁情报,WEB安全

谷歌紧急修复今年以来的第5个 Chrome 0day 漏洞

Sergiu Gatlan Sergiu Gatlan

代码卫士

2026年6月9日 16:57 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

谷歌紧急修复今年以来已遭在野利用的第五个 Chrome 0day 漏洞 (CVE-2026-11645)，为 Stable Desktop 渠道用户推出修复方案。

谷歌在收到漏洞报告后的两周内，在 Windows (149.0.7827.102)、Mac (149.0.7827.103) 和 Linux (149.0.7827.102) 系统中推出修复版本。虽然谷歌表示将在数天或数周内向所有 Chrome 用户推送安全更新，不过在今天已可用。用户也可等待 Chrome 自动检查更新并在下次启动时安装。

CVE-2026-11645 属于高危 0day，源自 Chrome V8 JavaScript 引擎中的越界读和越界写弱点，可被远程攻击者通过构造的 HTML 页面利用，在 Chrome 浏览器沙箱中执行任意代码。成功利用该漏洞可导致攻击者通过堆损坏访问内存缓冲区以外的数据，从而暴露敏感信息或触发崩溃。除了未授权访问界外内存外，该漏洞还可被用于绕过防护机制如 ASLR，使攻击者更容易组合其它漏洞实现代码执行。

按照惯例，谷歌仍然并未发布漏洞详情，以便用户有足够时间修复。

自今年开始，谷歌还修复了其它四个0day 漏洞：

• 在Chrome 对 CSS 字体特性值的实现CSSFontFeatureValuesMap 中存在迭代器失效漏洞 (CVE-2026-2441)，谷歌已于2月中旬修复。
• 其它两个已遭利用的 Chrome 0day：Skia 二维图形库中的越界读漏洞（CVE-2026-3909）以及V8 JavaScript 和 WebAssembly 引擎中的实现不当漏洞（CVE-2026-3910）。
• Chromium 项目使用的 WebGPU 标准的跨平台实现Dawn 中的释放后使用漏洞（CVE-2026-5281），谷歌已在四月份修复。

去年，谷歌修复了遭在野利用的8个 0day 漏洞，其中很多均由该公司的威胁分析组织 (TAG) 报送。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

谷歌修复已遭利用的两个新 0day

谷歌安卓更新修复已遭利用的高通 0day 漏洞

谷歌紧急修复已遭利用的 Chrome 新 0day，无CVE编号

谷歌紧急修复已遭利用的Chrome V8 0day 漏洞

谷歌紧急修复已遭利用的 Chrome 0day

原文链接

https://www.bleepingcomputer.com/news/security/google-patches-fifth-chrome-zero-day-bug-exploited-in-attacks-this-year/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Sergiu Gatlan Sergiu Gatlan《谷歌紧急修复今年以来的第5个 Chrome 0day 漏洞》