近期，安全社区披露了2个高危安全漏洞。

先是在6月8日，Google紧急发布了Chrome浏览器的安全更新，修复了一个已发现在野利用的V8引擎漏洞（CVE-2026-11645）。

紧接着，一个被称为"HTTP/2 Bomb"的拒绝服务漏洞（CVE-2026-49975）被披露，攻击者无需任何认证，就能在十几秒内让你的服务器瘫痪。

一个是千万级用户受影响的浏览器漏洞，一个是十万级服务器面临风险的协议漏洞。

漏洞一：Chrome V8越界读写漏洞（CVE-2026-11645） 

这个漏洞有多严重？看几个关键指标：

CVSS评分8.8分，属于高危级别。影响范围达到千万级用户。最关键的是，已经发现有人在野外实际利用这个漏洞进行攻击了。威胁类型包括远程代码执行和信息泄露。

简单来说，攻击者可以构造一个恶意网页，当用户访问时，就能触发V8引擎的越界读写漏洞，绕过Chrome的沙箱防护，直接在你的设备上执行任意代码。

这意味着什么？点开一个链接，你的电脑就可能被完全控制。

这个漏洞的根源在于Chrome的JavaScript引擎V8。V8引擎在处理某些特殊的JavaScript代码时，会出现越界读写的问题。

具体来说，V8引擎在优化代码执行时，对数组边界的检查不够严格。攻击者可以通过精心构造的JavaScript代码触发越界访问，进一步绕过Chrome的沙箱隔离机制，最终实现远程代码执行。

最关键的是，这个漏洞已经发现在野利用，说明已经有攻击者在实际环境中使用它进行攻击。

受影响的Chrome版本包括：Windows/Mac版低于149.0.7827.102，Linux版低于149.0.7827.102。

修复方案非常简单：立即升级Chrome浏览器到最新版本。

官方修复版本是Windows/Mac 149.0.7827.102或更高，Linux 149.0.7827.102或更高。

快速检查方法：打开Chrome，点击右上角的"更多"图标（三个点），选择"帮助"，然后点击"关于Google Chrome"。

浏览器会自动检查更新并下载，下载完成后点击"重新启动"。升级完成后，在"关于Google Chrome"页面确认版本号是否已达到或超过修复版本。

漏洞二：HTTP/2 Bomb远程拒绝服务漏洞（CVE-2026-49975）

如果说Chrome漏洞影响的是用户端，那么HTTP/2 Bomb漏洞直接威胁的是服务器端。

这个漏洞的恐怖之处在于：在100Mbps的网络连接下，攻击者只需10到20秒，就能耗尽服务器约32GB的内存。是的，十几秒，一个服务器就挂了。

CVSS评分9.8分，属于高危级别。影响范围达到十万级服务器。利用难度很低，因为无需身份验证。攻击效果是服务器内存耗尽，业务瘫痪。

这个漏洞的攻击原理非常巧妙，它利用了HTTP/2协议的两个特性。

第一个是HPACK压缩炸弹。HTTP/2使用HPACK算法压缩请求头。攻击者可以构造特殊的请求，让服务器在解压缩时，一个字节的数据被放大成数千倍的内存分配。这就像你给人一张纸条，上面写"请把这封信复制10000遍"，对方就得老实照做。攻击者发送很少的数据，服务器却要分配巨大的内存。

第二个是流控制机制滥用。HTTP/2的流控制允许接收方通过WINDOW_UPDATE帧告知发送方自己的接收窗口大小。攻击者可以通告零字节的窗口大小，让服务器分配的内存永远无法释放。

把这两个机制组合起来就是：发送压缩炸弹让服务器分配大量内存，通告零窗口让服务器无法释放这些内存，持续发送让内存快速耗尽。

而且，传统的基于请求大小和数量的防御机制根本识别不了这种攻击。因为攻击者发送的请求体积很小，数量也不多，但每一次都在服务器内存里"埋雷"。

受影响的服务器包括几乎所有主流Web服务器：Nginx低于1.29.8，Apache httpd低于等于2.4.67或mod_http2低于2.0.41，Microsoft IIS包括Windows Server 2025，Envoy低于等于1.37.2，Cloudflare Pingora低于等于0.8.0。

对于Nginx用户，升级到1.29.8或更高版本。新版本引入了max_headers指令，默认限制为1000个请求头。在nginx.conf中可以添加http2_max_concurrent_streams 100的配置。

对于Apache httpd用户，升级mod_http2到v2.0.41或更高版本，配置LimitRequestFields限制头部数量。

对于IIS、Envoy、Pingora用户，密切关注厂商安全公告，在补丁发布前采取临时措施。

如果暂时无法升级，可以考虑禁用HTTP/2，将服务回退到HTTP/1.1协议。或者在前端部署WAF或CDN，部署支持严格头部数量限制的网关。也可以通过cgroups或ulimit限制工作进程内存。

通用防护配置可以限制HTTP/2头部大小和数量，设置流超时时间。

这两个漏洞的共同特点是：利用门槛低，影响范围大，修复方案明确。

对于Chrome V8漏洞，建议校园网用户尽快升级谷歌浏览器。对于HTTP/2 Bomb漏洞，有使用相关中间件的用户及个系统管理员需要排查是否有使用HTTP/2的服务器，并进行升级等措施进行修复。 

（信息服务中心 2026年6月17日）