谷歌已为 Windows、Mac 和 Linux 上的 Chrome 浏览器发布了紧急安全更新,解决了一个可能允许攻击者远程执行任意代码的严重漏洞。
强烈建议用户立即更新浏览器,以防范潜在威胁。
稳定频道已更新至 Windows 版本 140.0.7339.127/.128、Mac 版本 140.0.7339.132/.133 和 Linux 版本 140.0.7339.127。
该更新目前正在推出,并将在未来几天和几周内向所有用户开放。此补丁是在 Chrome 140 的初始版本之后发布的,该版本还解决了其他几个安全问题。
| CVE 编号 | 严厉 | 描述 | 受影响的组件 | 漏洞赏金 |
|---|---|---|---|---|
| CVE-2025-10200 漏洞 | 危急 | 释放后使用 | 服务人员 | 43,000 美元 |
| CVE-2025-10201 | 高 | 不适当的实施 | 魔 咒 | 30,000 美元 |
释放后使用严重漏洞
该更新解决了两个主要安全漏洞,其中最严重的是 CVE-2025-10200。该漏洞被评为严重漏洞,并被描述为 Serviceworker 组件中的“释放后使用”错误。
当程序在释放内存后尝试使用内存时,就会出现释放后使用缺陷,这可能导致崩溃、数据损坏,或者在最坏的情况下导致任意代码执行。
攻击者可以通过制作恶意网页来利用此漏洞,当用户访问该网页时,攻击者可以允许攻击者在受害者的系统上运行恶意代码。
安全研究员 Looben Yang 于 2025 年 8 月 22 日报告了这一严重缺陷。为了表彰这一发现的严重性,谷歌悬赏了 43,000 美元的漏洞赏金。
高严重性 Mojo 实现缺陷
此版本中修补的第二个漏洞是 CVE-2025-10201,这是一个被确定为“Mojo 中的不当实施”的高严重性缺陷。
Mojo 是运行时库的集合,用于在 Chromium 中进行进程间通信,Chromium 是为 Chrome 提供支持的开源项目。
此组件中的缺陷可能特别危险,因为它们可能会损害浏览器的沙箱,这是一项关键的安全功能,可以隔离进程以防止漏洞影响底层系统。
此漏洞由 Sahan Fernando 和一位匿名研究人员于 2025 年 8 月 18 日报告。记者们的调查结果获得了 30,000 美元的赏金。
谷歌正在逐步推出更新,但用户可以通过导航到“设置”>“关于 Google Chrome”来手动检查并应用更新。
浏览器会自动扫描最新版本,并提示用户重新启动以完成更新过程。
按照标准做法,Google 限制了对有关错误的详细信息的访问,以防止攻击者在大多数用户安装补丁之前开发漏洞。这凸显了在安全更新可用后立即应用的重要性。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
