谷歌已正式将 Chrome 140 提升至稳定通道,启动了 Windows、Mac、Linux、Android 和 iOS 的多平台部署。
该更新带来了通常的稳定性和性能改进,但标题功能是一个关键的安全补丁,解决了六个漏洞,其中包括一个可能允许远程代码执行的高严重性缺陷。
强烈建议用户立即更新浏览器,以防止潜在的利用。
新的桌面版本被确定为为 Linux 以及 Windows 和 Mac 构建。该更新也被推送到 build 的扩展稳定频道。140.0.7339.80140.0.7339.80/81140.0.7339.81
Key Takeaways 1. Chrome 140 is now stable on desktop and mobile, including extended-stable build 140.0.7339.81. 2. Six security bugs fixed. 3. GPU rasterization, faster HTTP/3, and CSS Container Queries support.
移动用户将在 Android 和 iOS 上看到版本的更新。虽然谷歌指出推出将在未来几天和几周内进行,但由于修补缺陷的严重性,建议手动检查更新。140.0.7339.35140.0.7339.95
此更新中解决的最关键问题是一个跟踪为 CVE-2025-9864 的高严重性漏洞。该缺陷被描述为“在 V8 中释放后使用”,V8 是为 Chrome 提供支持的强大开源 JavaScript 和 WebAssembly 引擎。
当程序在它指向的内存被释放后继续使用指针时,就会出现释放后使用漏洞。
通过纵这种内存状态,成功的攻击者可以制作一个触发错误的恶意网页,从而可能导致浏览器崩溃,或者在最坏的情况下,在受害者的系统上执行任意代码。Yandex 安全团队的 Pavel Kuzmin 于 2025 年 7 月 28 日报告了此漏洞。
除了 V8 缺陷外,谷歌还修补了外部研究人员报告的几个中等严重性错误,包括:
- CVE-2025-9865:工具栏中的不当实现。
- CVE-2025-9866:扩展中的不当实现。
- CVE-2025-9867:下载中的不当实现。
正如公告中所述,谷歌向发现并报告这些漏洞的外部研究人员提供了总计 10,000 美元的赏金。
| 脆弱性 | 描述 | 严厉 | 奖励 |
|---|---|---|---|
| CVE-2025-9864 漏洞 | 在 V8 中免费使用 | 高 | 不适用 |
| CVE-2025-9865 漏洞 | 工具栏中的不当实现 | 中等 | 5,000 美元 |
| CVE-2025-9866 漏洞 | 扩展中的不当实现 | 中等 | 4,000 美元 |
| CVE-2025-9867 漏洞 | 下载中的不当实现 | 中等 | 工具栏中的不当实现 |
更新推出详细信息
除了外部研究人员提供的修复之外,此版本还包括 Google 自己的内部安全工作带来的各种其他安全增强功能。
该公司归功于其强大的内部审计流程和复杂的测试工具,在许多错误到达稳定通道之前就发现了它们。
Google 的安全团队广泛使用 AddressSanitizer、MemorySanitizer 和 UndefinedBehaviorSanitizer 等自动化工具,以及 libFuzzer 和 AFL 等模糊测试技术,以主动发现和消除内存损坏和其他安全漏洞。
随着 Chrome 140 的更新在全球范围内推出,谷歌正在限制对特定错误详细信息和链接的访问。此标准过程旨在防止威胁行为者在大多数用户安装保护补丁之前对漏洞进行逆向工程。
用户可以通过导航到 Chrome 的“关于 Google Chrome”设置页面来确保他们受到保护,这将触发最新版本的自动下载和安装。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
