Google 已针对 Windows、Mac 和 Linux 平台的 Chrome 浏览器发布紧急安全更新,修复了一个可能导致攻击者远程执行任意代码的高危漏洞。强烈建议用户立即更新浏览器以防范潜在威胁。
更新版本详情
稳定版通道已更新至以下版本:
- Windows:140.0.7339.127/.128
- Mac:140.0.7339.132/.133
- Linux:140.0.7339.127
此次更新正在逐步推送,预计将在未来数日乃至数周内覆盖所有用户。该补丁紧随 Chrome 140 初始版本发布,后者也修复了若干其他安全问题。
漏洞详情速览
| CVE 编号 | 严重等级 | 漏洞描述 | 受影响组件 | 漏洞赏金 |
|---|---|---|---|---|
| CVE-2025-10200 | 高危 | 释放后使用(Use-after-free) | Serviceworker | 43,000 美元 |
| CVE-2025-10201 | 高 | 不当实现(Inappropriate implementation) | Mojo | 30,000 美元 |
高危释放后使用漏洞
本次更新修复了两个重大安全缺陷,其中最严重的是 CVE-2025-10200。该漏洞被评定为高危级别,属于 Serviceworker 组件中的"释放后使用"(Use-after-free)缺陷。
当程序尝试访问已被释放的内存时,就会触发释放后使用漏洞,可能导致程序崩溃、数据损坏,最严重情况下可被利用执行任意代码。攻击者可通过构造恶意网页来利用此漏洞,当用户访问该网页时,攻击者便能在受害者系统上运行恶意代码。
安全研究员 Looben Yang 于 2025 年 8 月 22 日报告了这一高危漏洞。鉴于该发现的严重性,Google 向其颁发了 43,000 美元的漏洞赏金。
Mojo 组件高危实现缺陷
本次修复的第二个漏洞 CVE-2025-10201 被评定为高严重等级,属于"Mojo 组件中的不当实现"。Mojo 是一组用于 Chromium (Chrome 浏览器底层开源项目)进程间通信的运行时库。
该组件的缺陷尤为危险,因为它们可能破坏浏览器的沙箱机制——这一关键安全特性通过隔离进程来防止漏洞利用影响底层系统。Sahan Fernando 和一位匿名研究员于 2025 年 8 月 18 日报告了该漏洞,两人共获得 30,000 美元赏金。
更新建议
Google 正在逐步推送更新,用户也可通过以下路径手动检查并安装更新:设置 > 关于 Google Chrome。浏览器将自动扫描最新版本并提示用户重启以完成更新。
按照标准做法,Google 已限制漏洞详细信息的访问权限,以防止大多数用户安装补丁前出现漏洞利用程序。这凸显了及时安装安全更新的重要性。
参考来源:
Chrome Security Update Patches Critical Remote Code Execution Vulnerability
