谷歌发布了Chrome的重要更新,修复了新版本138.0.7204.157/158(Windows和macOS系统)以及138.0.7204.157(Linux系统)中的多个漏洞。谷歌表示,其中一个漏洞已被黑客在真实攻击中利用。其他基于Chromium的浏览器预计将在未来几天跟进补丁。
高危漏洞详情
在Chrome Releases博客中,斯里尼瓦斯·西斯塔(Srinivas Sista)列出了由外部安全研究人员发现并报告给谷歌的两个漏洞。这两个漏洞(编号CVE-2025-7656和CVE-2025-7657)被谷歌归类为高风险,分别涉及V8 JavaScript引擎的整数溢出问题以及WebRTC组件的释放后重用漏洞。
西斯塔还公布了第三个高危漏洞(CVE-2025-6558),其成因是ANGLE图形库和GPU组件未对不可信用户输入(或源自浏览器外部的数据)进行充分验证,攻击者可借此注入并执行恶意代码。谷歌未透露其他内部发现漏洞的具体信息。
更新方式与移动端同步
通常情况下,Chrome会在检测到新版本时自动更新。用户也可通过点击帮助 > 关于Google Chrome手动触发更新检查。此次谷歌还同步发布了修复相同漏洞的移动端版本:Chrome安卓版138.0.7204.157和Chrome iOS版138.0.7204.156。
其他浏览器需跟进
其他基于Chromium的浏览器厂商需尽快发布对应的安全更新。目前微软Edge、Brave和Vivaldi仍处于本次Chrome更新前的安全级别,而Opera 120.0.5543.61仍在使用存在大量漏洞的2023年4月发布的Chromium 135内核。
谷歌计划于8月初推出Chrome 139版本。
