Chrome 0Day 漏洞遭野外利用——请立即更新补丁

该漏洞编号为（CVE-2026-5281），是Dawn Chrome跨平台GPU抽象层（用于实现WebGPU）中的释放后使用（use-after-free）漏洞。

谷歌已为其Chrome浏览器发布紧急安全更新，修复了一个正在被野外利用的0Day漏洞。Windows和Mac平台的稳定版已更新至146.0.7680.177/178版本，Linux平台更新至146.0.7680.177版本，预计未来数日或数周内将覆盖所有用户。

漏洞技术细节

该漏洞编号为（CVE-2026-5281），是Dawn Chrome跨平台GPU抽象层（用于实现WebGPU）中的释放后使用（use-after-free）漏洞。当程序持续引用已释放的内存时，攻击者可能借此执行任意代码或突破浏览器沙箱限制。谷歌最新确认该漏洞已被野外利用，表示"已知（CVE-2026-5281）的漏洞利用代码已在野外出现"。该漏洞由匿名研究员于2026年3月10日发现并报告。在大多数用户完成补丁更新前，漏洞技术细节将保持受限状态——这是谷歌限制漏洞复现的标准做法。

21项安全修复补丁

除0Day漏洞外，本次更新还包含21项安全修复，其中19项被评定为高危级别，涉及多个Chrome子系统。值得关注的已修复漏洞包括：

（CVE-2026-5273）CSS中的释放后使用（3月18日报告）（CVE-2026-5272）GPU中的堆缓冲区溢出（3月11日报告）（CVE-2026-5274）编解码器中的整数溢出（3月1日报告）（CVE-2026-5275）ANGLE中的堆缓冲区溢出（3月4日报告）（CVE-2026-5276）WebUSB中的策略执行不足（3月4日报告）（CVE-2026-5278）Web MIDI中的释放后使用（3月6日报告）（CVE-2026-5279）V8中的对象损坏（3月8日报告）（CVE-2026-5280）WebCodecs中的释放后使用（3月11日报告）（CVE-2026-5284）Dawn中的释放后使用（3月12日报告）（CVE-2026-5285）WebGL中的释放后使用（3月13日报告）（CVE-2026-5287）PDF中的释放后使用（3月21日报告）（CVE-2026-5288）WebView中的释放后使用（谷歌内部报告，3月23日）（CVE-2026-5289）导航系统中的释放后使用（谷歌内部报告，3月25日）（CVE-2026-5290）合成系统中的释放后使用（谷歌内部报告，3月25日）

Dawn、WebGL、WebCodecs、Web MIDI、WebView、导航和合成系统中密集出现的释放后使用漏洞，凸显了浏览器渲染管线持续面临的内存安全问题。其中三个高危补丁由谷歌内部安全团队直接报告，表明部分漏洞是通过主动威胁狩猎而非外部披露发现的。

更新建议

所有运行低于146.0.7680.177（Linux）或146.0.7680.178（Windows/Mac）版本的Chrome用户均可能面临风险。鉴于（CVE-2026-5281）已确认被野外利用，企业用户和安全团队应将此更新视为关键优先级补丁。立即更新请前往菜单(⋮)→帮助→关于Google Chrome，浏览器将自动检查并应用最新更新后提示重启。通过策略管理Chrome部署的组织应即刻通过终端管理平台推送更新。