【安全资讯】谷歌紧急修复2026年首个在野利用的Chrome零日漏洞

概要：

在网络安全领域，零日漏洞的利用始终是最高级别的威胁之一。谷歌近日紧急修补了2026年首个在攻击中被积极利用的Chrome浏览器零日漏洞，凸显了此类漏洞对全球数十亿用户的即时风险。该漏洞的修复标志着新一年网络攻防战的开始，也提醒用户及时更新软件的重要性。

主要内容：

谷歌于近期发布了紧急安全更新，以修复一个被标记为CVE-2026-2441的高危漏洞。该漏洞是一个存在于CSSFontFeatureValuesMap中的迭代器失效（iterator invalidation）缺陷，属于释放后重用（use-after-free）类型。攻击者成功利用此漏洞可导致浏览器崩溃、渲染问题、数据损坏或其他未定义行为。

该漏洞由安全研究员Shaheen Fazim报告。谷歌在安全公告中确认，针对此漏洞的利用代码已在野外出现。尽管谷歌发现了攻击者利用此零日漏洞的证据，但并未透露相关攻击事件的更多细节，以保护大多数用户完成更新。

此次修复的补丁被标记为“cherry-picked”，意味着它被反向移植到多个稳定版本中，而非等待下一个主要版本发布。这通常表明漏洞的严重性和被利用的紧迫性。谷歌的提交信息也指出，此补丁解决了“直接问题”，但仍有“剩余工作”需要处理，暗示这可能是一个临时修复或相关漏洞链仍需解决。

这是谷歌在2026年修复的首个在野利用的Chrome零日漏洞。回顾2025年，谷歌共修复了八个在野利用的零日漏洞，其中许多由其威胁分析小组（TAG）报告。新版本（Windows和macOS为145.0.7632.75/76，Linux为144.0.7559.75）正逐步向全球用户推送，用户应尽快更新或启用自动更新功能以确保安全。