Google Chrome 近日发布了一项关键安全更新,修复了六个可能允许攻击者在受影响系统上执行任意代码的漏洞。此次稳定版更新版本号为 Windows 和 Mac 平台的 139.0.7258.127/.128,以及 Linux 平台的 139.0.7258.127,包含多个对用户数据和系统完整性构成重大风险的高危安全漏洞补丁。
**核心要点**1. Chrome 修复了六个漏洞,其中三个可导致代码执行 2. 影响 V8 引擎和图形组件 - 允许执行恶意代码 3. 立即通过"设置 > 关于 Chrome"更新浏览器
已修复的高危漏洞
本次安全更新主要针对三个可能导致任意代码执行的高危漏洞。
CVE-2025-8879 是 libaom 库(负责视频编解码操作)中的堆缓冲区溢出漏洞。此类漏洞允许攻击者向已分配内存边界之外写入数据,可能覆盖关键系统信息。
CVE-2025-8880 修复了由安全研究员 Seunghyun Lee 报告的 V8 JavaScript 引擎中的竞态条件问题。当多个进程同时尝试访问共享资源时会产生竞态条件,导致攻击者可利用的不可预测行为。
第三个高危漏洞 CVE-2025-8901 涉及 ANGLE(Almost Native Graphics Layer Engine,将 OpenGL ES API 调用转换为硬件支持 API 的引擎)中的越界写入漏洞。
Chrome 安全团队采用了多种高级检测方法来识别这些漏洞,包括用于检测内存损坏错误的 AddressSanitizer、用于未初始化内存读取的 MemorySanitizer,以及用于捕获 C/C++ 代码中未定义行为的 UndefinedBehaviorSanitizer。此次更新还整合了控制流完整性机制,以及来自 libFuzzer 和 AFL(American Fuzzy Lop)测试框架的发现。
已修复的中危漏洞
更新还修补了多个中危漏洞,包括 CVE-2025-8881(修复了文件选择器组件中的不当实现问题)和 CVE-2025-8882(Aura 窗口系统中的释放后使用漏洞)。释放后使用漏洞会在程序继续使用已释放内存时出现,可能导致代码执行机会。
| CVE 编号 | 漏洞名称 | 严重等级 |
|---|---|---|
| CVE-2025-8879 | libaom 中的堆缓冲区溢出 | 高危 |
| CVE-2025-8880 | V8 中的竞态条件 | 高危 |
| CVE-2025-8901 | ANGLE 中的越界写入 | 高危 |
| CVE-2025-8881 | 文件选择器中的不当实现 | 中危 |
| CVE-2025-8882 | Aura 中的释放后使用 | 中危 |
缓解措施
这些漏洞共同构成了严重的安全风险,因为浏览器核心组件中的堆缓冲区溢出和竞态条件可能被利用来以浏览器权限执行恶意代码。
更新将在未来几天和几周内自动推送,但用户应通过"设置 > 关于 Chrome"手动更新浏览器。系统管理员应优先部署此更新,特别是在处理敏感数据的企业环境中。
Chrome 团队与外部安全研究人员(包括匿名贡献者和 Google 的 Big Sleep 项目)的合作,展示了在漏洞进入稳定发布渠道前识别和修复安全漏洞的持续努力。
参考来源:
Multiple Chrome High-Severity Vulnerabilities Let Attackers Execute Arbitrary Code
