谷歌已为其Chrome网页浏览器发布紧急安全更新,以解决三个高严重性漏洞,这些漏洞可能允许攻击者访问敏感信息或导致系统崩溃。
该公司建议用户立即更新浏览器,以降低与这些漏洞相关的潜在风险。
最新补丁将Windows和Mac版的Chrome稳定频道更新至140.0.7339.207/.208版本,Linux版更新至140.0.7339.207版本。该更新将在未来几天和几周内自动推送,但用户也可以手动触发更新,以确保及时获得保护。
发现的这三个高严重性漏洞均存在于V8 JavaScript和WebAssembly引擎中,该引擎是Chrome的核心组件,负责执行程序代码。
第一个漏洞编号为CVE-2025-10890,是一个侧信道信息泄露漏洞。这类漏洞可能使远程攻击者在诱使用户访问恶意网站后,绕过旨在隔离信息的安全措施,读取浏览器内存中的敏感数据。该漏洞由外部安全研究员马特·马尔扬诺维奇报告。
另外两个漏洞CVE-2025-10891和CVE-2025-10892均被描述为V8引擎中的整数溢出问题。
这些是由谷歌的“大睡眠”研究团队在内部发现的。整数溢出是一种常见的软件漏洞,当数值过大,超出为其分配的内存空间时就会发生,导致数值“溢出”并产生意外行为。
在浏览器环境中,攻击者通常可以利用此类漏洞,通过崩溃渲染进程来造成拒绝服务状态,或者在受影响的系统上执行任意代码。
攻击者可能会利用这些漏洞
成功利用这些漏洞通常需要攻击者引诱受害者访问一个精心设计的恶意网页。
对于CVE-2025-10890,页面上的恶意代码可能会触发侧信道漏洞,使攻击者能够从用户机器上运行的其他网站或进程中推断数据。
这两个整数溢出漏洞如果被利用,可能会导致浏览器突然崩溃。虽然谷歌的公告并未证实这一点,但整数溢出有时可以与其他漏洞利用手段结合,从而完全控制受影响的系统,这使它们成为一种严重的威胁。
根据其标准安全政策,谷歌目前正限制对这些漏洞的技术细节和概念验证利用方式的访问。
这一措施旨在通过给大多数用户充足的时间安装安全补丁来防止大规模攻击。一旦更新得到广泛部署,这些限制将会解除。
谷歌强烈建议所有Chrome用户确保其浏览器更新至最新版本,以防范潜在的漏洞利用。
要检查并安装更新,用户可以打开Chrome菜单,选择“帮助”,然后点击“关于Google Chrome”。浏览器会自动扫描最新版本,并提示用户重启以完成安装。
谷歌还对帮助识别和报告这些漏洞的安全研究人员表示感谢,并强调了维护浏览器安全所需的协作努力。
该公司指出,其许多安全漏洞是通过AddressSanitizer、MemorySanitizer以及各种模糊测试库等先进测试工具检测到的,这些工具有助于在漏洞进入稳定渠道前识别并修复它们。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
