Google Chrome 今年第5个在野0day漏洞 (CVE-2026-11645)

导语：2026年6月9日，Google突然发布Chrome浏览器紧急安全更新，一枚隐藏在V8 JavaScript引擎中的高危0day漏洞浮出水面。CVE-2026-11645——越界内存访问，攻击者只需诱导用户打开一个恶意网页，即可实现远程代码执行。更可怕的是，Google内部威胁分析团队已确认该漏洞正在被野外利用。这已是Chrome今年曝光的第5个在野0day。

一、漏洞概述

1.1 漏洞基本信息

CVE-2026-11645由Google威胁分析团队（Threat Analysis Group，TAG）发现并报告，漏洞类型为越界内存访问（Out-of-Bounds Memory Access），位于Chrome的V8 JavaScript引擎核心处理模块。

Google在官方安全公告中明确标注该漏洞”已被野外利用”（already exploited in the wild），这意味着攻击者已经在真实的网络攻击中使用此漏洞，而不仅仅是概念验证。

1.2 技术细节

越界内存访问漏洞是浏览器漏洞中最危险类型之一。V8引擎在处理JavaScript对象和数组时，如果缺乏有效的边界检查，攻击者可以通过精心构造的恶意代码访问到预期之外的内存区域。一旦成功，攻击者可以：

读取目标进程的堆内存数据
绕过浏览器沙箱安全机制
在受害者系统上执行任意代码

由于V8是Chrome的JavaScript核心引擎，处理所有网页的JavaScript执行，任何浏览器的交互操作都可能触发漏洞。

1.3 影响版本

以下Chrome版本受影响，用户需立即更新：

稳定版	受影响版本
Windows/Mac/Linux	149.0.7827.102 之前的所有版本
修复版本	149.0.7827.102 / 149.0.7827.103

二、攻击场景分析

2.1 攻击向量

该漏洞的攻击路径极其简单：攻击者只需构造一个恶意HTML页面，通过钓鱼邮件、社交媒体分享或被植入木马的网站进行分发。当用户使用有漏洞版本的Chrome访问该页面时，攻击代码自动执行。

这意味着传统的安全边界——防火墙、邮件网关、上网行为管理——在面对此类攻击时几乎形同虚设。用户的一次正常浏览，就可能成为攻击的入口。

2.2 高危场景

该漏洞特别适用于以下攻击场景：

水坑攻击：攻击者锁定特定行业或组织的常访网站，植入恶意代码，等待目标用户访问。一旦目标访问，攻击者即可获得目标终端的控制权，整个过程对用户完全透明。

钓鱼攻击：攻击者制作高仿真的钓鱼页面，诱导用户点击链接。用户以为自己只是在正常浏览网页，实际上攻击代码已经在后台执行。

社工攻击链：作为复杂社工攻击的一环，配合定向钓鱼或身份伪造使用。例如，攻击者先通过邮件伪造身份骗取信任，再诱导用户访问”安全”的恶意链接，双重社工极大提高成功率。

2.3 国内影响评估

Chrome在国内浏览器市场占据绝对主导地位。根据最新统计数据，Chrome在国内桌面浏览器的市场份额超过60%，这意味着：

所有安全从业者、开发者的办公终端面临威胁
企业内网的Chrome用户可能成为攻击跳板
普通用户的个人设备同样暴露在风险中

考虑到该漏洞已被用于真实攻击，可以推断：国内重要单位、关键信息基础设施运营者已成潜在目标。

三、漏洞时间线与威胁等级

3.1 时间线

2026年6月：Google威胁分析团队发现CVE-2026-11645漏洞
2026年6月9日：Google发布Chrome 149.0.7827.102/.103紧急安全更新
同一天：The Hacker News等主流安全媒体同步报道

3.2 CVE-2026-11645与前4个0day对比

漏洞编号	发现时间	漏洞类型
CVE-2026-11645	2026年6月9日	V8越界内存访问
（第4个）	2026年5月	待确认
（第3个）	2026年4月	待确认
（第2个）	2026年3月	待确认
（第1个）	2026年2月	待确认

半年内5个在野0day，Chrome已成为网络军火库的重点关照对象。

3.3 威胁等级评估

维度	评分
CVSS评分	高（9.3+）
利用成熟度	已野外利用
攻击复杂度	低（构造恶意HTML即可）
用户交互需求	低（仅访问页面）
国内影响面	极广