Chrome 150再補7個記憶體漏洞
Google在Chrome 150大改版後再次緊急補洞,桌面版與Android版升至150.0.7871.128或150.0.7871.129。這次處理7個與記憶體安全有關的漏洞,多數屬於Use-After-Free(UAF,記憶體釋放後再存取),攻擊者可能藉此造成程式崩潰,甚至進一步執行惡意程式碼。其中CameraCapture、GPU與Network元件的CVE-2026-15899、CVE-2026-15900、CVE-2026-15901被列為重大等級,其餘4項則是高風險。
現實應用
這不是要不要嘗鮮新功能的問題,而是所有使用Chrome上網的人都該更新。一般使用者會接觸攝影機、網頁圖形與網路傳輸;企業端還有客服後台、SaaS、雲端管理介面等大量瀏覽器工作流程,暴露面更大。IT管理者尤其要確認公司端點、Android工作機與無人值守設備是否真的完成升級,不能只等員工自行重開瀏覽器。
期望評估
我認為低標期望很明確:更新至少能封住這批已知漏洞,降低惡意網站利用瀏覽器記憶體錯誤的機會。高標來看,如果企業有集中管理版本並能快速完成部署,這次事件也能順便驗證瀏覽器修補流程是否足以應付短時間連續更新。不過更新不等於全面免疫,仍要搭配端點防護、最小權限與可疑連結管控。
商業策略分析
我認為最受影響的是高度依賴Web系統的企業、金融服務、電商及代管大量端點的IT服務商。Chrome 150在6月底推出後已兩度修補,而且本週兩次更新僅相隔兩天,代表瀏覽器維運不能再用每月固定排程處理。我猜企業若還沒有強制更新、版本盤點與重啟提醒機制,現在值得跟進;成本不高,卻能直接縮短漏洞暴露時間。
實作細節
桌面版可開啟chrome://settings/help檢查版本並觸發更新,完成後重新啟動Chrome;Android則透過Google Play更新。目標版本為150.0.7871.128或150.0.7871.129,實際收到哪個版本可能依平台而異。管理者部署後應再查一次裝置版本,避免更新已下載但尚未重啟生效。