谷歌已为其Chrome浏览器发布安全更新。针对Windows和macOS系统的新版本137.0.7151.103/104,以及Linux系统的137.0.7151.103版本修复了两个漏洞。谷歌表示,目前尚未发现这些漏洞在野外被利用的情况。其他基于Chromium内核的浏览器厂商预计将在近日跟进更新。
在Chrome发布博客中,普鲁德维库马尔·博马纳(Prudhvikumar Bommana)列出了由外部安全研究人员发现并提交给谷歌的两个漏洞。谷歌将这两个漏洞均评定为高风险级别。其中CVE-2025-5958是媒体组件中的“释放后使用”漏洞,攻击者若利用成功可注入并执行任意代码。
第二项漏洞CVE-2025-5959曾在五月底的TyphoonPWN黑客大赛中被演示,该赛事自2018年起作为首尔TyphoonCon安全会议的重要组成部分。该漏洞同样属于V8 JavaScript引擎中的类型混淆问题,同样可被用于执行注入代码。
谷歌还同步发布了安卓版Chrome 137.0.7151.89,修复了与桌面版相同的安全漏洞。
通常情况下,当新版本可用时Chrome会自动更新。若需手动检查更新,可通过三点菜单进入“帮助>关于Google Chrome”进行操作。谷歌计划于六月底发布Chrome 138版本。
其他基于Chromium的浏览器方面
Brave和微软Edge(Microsoft Edge)已升级至Chromium 137内核,当前安全等级与本次Chrome更新前持平
Vivaldi仍采用旧版的扩展稳定通道,其安全级别与Brave、Edge相同
Opera浏览器仍在使用谷歌已停止安全支持的Chromium 134内核
