Google 本周对 Chrome 的维护态度非常“上头”。先是在 6 月 23 日推出一轮桌面与移动端安全性更新,合计披露并修补 18 个漏洞;没想到才过两天,临近周末又突然追加一次更新,再次处理 3 个安全缺陷,让用户不得不立刻把浏览器更新到最新稳定版。
这次新增的修补范围覆盖多平台:Windows 与 macOS 更新到 149.0.7827.200 与 149.0.7827.201,Linux 以及 Android 则更新到 149.0.7827.200。把前一波与这一波合并计算,本周累计揭露的 Chrome 漏洞一共达到 21 项,其中这一次的重点是多类高风险问题被纳入修复。
在漏洞细节上,CVE-2026-13281 指向 Chrome 核心的 Mojo 跨进程通信框架,存在整数溢出(Integer Overflow)缺陷;而 CVE-2026-13282 与 CVE-2026-13283 则属于“用后即失效”(UAF)类型问题,前者发生在 Chrome Android 版 Payments 相关组件,后者出现在 AdFilter 组件。简单说,前者更像是计算边界失控引发异常行为,后两者则可能让攻击者在对象已经释放后仍尝试继续使用,从而制造可被利用的内存状态。
关于风险等级,Google 将本次列出的最新漏洞整体都标记为高风险;但在 CVE.org 上,不同漏洞的风险评估存在差异:例如 CVE-2026-13281 与 CVE-2026-13283 的 CVSS 3.1 分别为 8.3 与 7.5(偏高),而 CVE-2026-13282 的分数为 6.8(相对中风险)。
更关键的是,公开的利用方式也相当“现实”。例如 CVE-2026-13281 可能让已被入侵的远端攻击者,通过恶意文件触发沙箱跳脱;CVE-2026-13282 提供了让本机攻击者利用本地存取设备进行破坏性记忆体处理的路径;CVE-2026-13283 则利用用户执行特定手势,配合定制 HTML 页面后续达成任意代码执行。对普通用户而言,最有效的应对手段就是:立刻检查并更新 Chrome 到本轮 149 稳定版,别等“可能发生”真的发生在自己身上。
