Chrome 这次给咱们发了个重要更新,把 26 个高危漏洞给堵上了。要是不打补丁,网上随便溜达一下,可能就会被人远程控制你的电脑。谷歌把 Windows 和 macOS 的版本号都拉到了 146.0.7680.153 和 146.0.7680.154,Linux 用户这次也能同步吃上 146.0.7680.153 这个版本。这次修了一大堆内存乱搞的问题,不管是家里用电脑还是公司里办公,都得重视起来。咱们就直接说说那些最危险的威胁。 攻击者主要是在浏览器处理网页内容的时候搞鬼,比如 WebGL、WebRTC 还有 V8 引擎里的缺陷,就能绕过安全防护。这次一共修补了:3 个最严重的 Critical 级漏洞、22 个 High 级高危漏洞和 1 个 Medium 级中危漏洞。这些漏洞多半是内存管理出了岔子,像释放后使用(Use-after-free)、堆缓冲区溢出(Heap buffer overflow)还有越界访问(Out-of-bounds access)这种毛病。 除了那些特别厉害的 Critical 漏洞,22 个 High 级别的问题也会影响很多核心模块。比如 Blink、Network、WebAudio、Dawn 和 PDFium 这些地方都中招了。 看看具体是哪儿出了岔子:CriticalWebGL 越界读写,CriticalBase 释放后使用,HighCSS 堆缓冲区溢出,HighWebAudio 堆缓冲区溢出……尤其是 WebGL 这边特别危险,因为它直接跟 GPU 打交道,很容易突破软件防线。 好多漏洞都是谷歌开发时用 AddressSanitizer、MemorySanitizer 和 libFuzzer 这种先进工具主动查出来的。 为了防着被黑,大家赶紧检查下浏览器版本去打补丁。别老等自动推送,企业里也得快点把更新部署下去。谷歌估计会在未来几天或几周里慢慢推送给大家更新,但提前动手总比晚了强。 按照老规矩,谷歌在大部分人都打完补丁之前是不会透露太多细节的。这样做是为了防止坏家伙把漏洞利用的技术扒出来,去黑那些还没更新的系统。