大家听我说,谷歌刚爆出来两个非常严重的Chrome浏览器漏洞,现在正被黑客拿去搞破坏呢。这事儿特别危险,IT团队得赶紧给系统打补丁才行。谷歌这边动作也很快,已经发了CVE-2026-3909和CVE-2026-3910这两个紧急的修复方案了。这事儿发生在三月那个补丁星期二,当时一口气修了29个问题,还没来得及喘口气呢,又接着出这种事儿。受影响的主要是146.0.7680.75这个版本以前的Chrome。这下好了,这又是个理由,让公司得把所有浏览器和插件的补丁策略给安排上。加拿大那边做安全培训的Beauceron公司的David Shipley说了:“要是你不盯着浏览器补丁看,你被盯上的风险每天都在涨。”那个CVE-2026-3910漏洞简直太狠了,只要有人点开了一个恶意网页,就能在Chrome里面任意跑代码,这完全是因为V8 JavaScript和WebAssembly引擎搞砸了。还有那个CVE-2026-3909,同样也是因为Skia图形库有问题,会让攻击者直接越界读写内存。Shipley也警告说,随便乱动浏览器内存,搞不好就把公司的敏感信息全丢了。 按公司规矩,谷歌在大部分用户都更新好之前是不会说太多细节的。其实浏览器为什么这么危险呢?因为它就是大家上网都用的工具。Palo Alto Networks让Omdia做了个2025年的报告说,12个月内大概有95%的组织都被自家员工的浏览器给坑过。所以专家都说了,现在的黑客直接冲着浏览器去,用XSS啊、偷Token啊、钓个高级鱼啊这些招数来搞事情。现在看来搞个“以浏览器为中心的零信任框架”好像是必须的了。 Action1的漏洞研究老大Jack Bicer也说了:“既然已经确认有人在利用这些漏洞,那些还没更新的公司就得小心了。黑客要是盯着受损或者恶意网站使劲儿攻,你的用户就全暴露了。”所以Chrome、Edge还有其他所有基于Chromium的浏览器都得赶紧升级到最新版。管理员们还得把手头的自动更新给打开,盯着看有没有人用老版本的软件了。有条件的话最好再搞个浏览器隔离技术,把网络攻击的风险再降一降。 Tenable的Scott Caveza也认同这一点。虽然谷歌没说黑客到底怎么用这两个漏洞作恶,但他觉得大多数浏览器的安全问题都需要受害者自己去点那个精心设计的网站才行。好在更新Chrome其实挺简单的,好多系统本身就开着自动更新呢。他说:“咱们都知道那些黑客就是逮着机会下手的人,当他们盯上市场上用得最多的一款浏览器时,咱们团队必须立马行动起来确保补丁打好。” Q&A Q1:这两个漏洞到底有多坏? A:CVE-2026-3910是因为V8引擎没写好代码,让黑客能在沙盒里乱搞。CVE-2026-3909是因为Skia图形库乱写内存导致敏感信息丢失。 Q2:哪些浏览器受影响? A:146.0.7680.75以前的Chrome全中枪。除了Chrome还有Edge那些基于Chromium的都得更新。 Q3:企业该怎么办? A:先把补丁策略定了,开了自动更新盯着别用旧版本了;再搞点隔离技术隔离一下风险;最后还是得搞个“以浏览器为中心”的零信任框架才稳当。