【安全资讯】谷歌紧急修复Chrome CSS零日漏洞，攻击者已利用该漏洞执行任意代码

概要：

在网络安全领域，零日漏洞的发现与利用往往意味着攻击者已抢在厂商修复之前发动攻击，对用户构成直接威胁。近日，谷歌紧急修复了2026年首个被公开报告的Chrome浏览器零日漏洞，该漏洞允许攻击者通过特制网页在受害者浏览器中执行恶意代码，凸显了浏览器安全防护的持续挑战。

主要内容：

该漏洞编号为CVE-2026-2441，CVSS评分为8.8分，属于高危漏洞。其根源在于Chrome处理CSS时存在一个“释放后使用”（use-after-free）缺陷。远程攻击者可以通过构造一个恶意的HTML页面，利用此漏洞在浏览器的沙箱环境中执行任意代码。这意味着用户仅需访问一个恶意网页，就可能中招。

安全研究员Shaheen Fazim于2月11日报告了此漏洞。谷歌在两天后（2月13日）确认该漏洞已在野外被利用。谷歌已紧急发布了修复版本（Windows和Mac为145.0.7632.75，Linux为144.0.7559.75），并正在逐步推送更新。谷歌的安全公告证实了野外利用的存在，但未透露攻击是定向的还是大规模的。

为防漏洞被进一步武器化，谷歌暂未公开漏洞的技术细节，并计划在大多数用户完成更新后再行披露。这是谷歌应对活跃漏洞的常规操作。回顾2025年，谷歌已修复了八个被主动利用的Chrome零日漏洞，此次事件再次表明浏览器安全是一场持续的攻防战。

此次漏洞事件也发生在研究人员曝光数百万用户安装的恶意Chrome扩展窃取浏览历史之后，这提醒我们，数据泄露风险不仅来自软件漏洞，也来自浏览器庞大的扩展生态系统。