吳明宜Google 周一公告,上周緊急發佈更新,修補 Chrome 已遭到攻擊的零時差漏洞,預計未來幾天到幾周內釋出穩定版給廣大用戶。
Google 威脅分析部門 (Threat Analysis Group, TAG) 研究員 Clement Lecigne 和 Benoît Sevens 觀察到一個高風險漏洞 CVE-2025-5419 。這是一個存在 Chrome JavaScript 引擎 V8 中的越界讀寫漏洞,能允許遠端攻擊者改造 HTML 網頁,進而毁損記憶體或劫持執行。這能暴露用戶敏感資料,或是讓攻擊者執行任意程式碼、或造成電腦當機。
CVE-2025-5419 為 CVSS v3.1 8.8 的高風險漏洞。而且 Google 說已發現網路上 CVE-2025-5419 的濫用程式,不過發現當天 Google 已經變更 Chrome 的配置解決了本項漏洞。
為確保尚未更新 Chrome 的用戶安全,在大部份用戶安裝完成前,Google 並未公佈漏洞細節,也未透露是什麼樣的攻擊,或行動者的身份。
Google 同時修補了 Chrome 中度風險漏洞,是存在開原排版引擎 Blink 的「使用已釋放記憶體 (use-after-free)」漏洞-CVE-2025-5068,為研究人員 Walkman 通報。
更新版 Chrome 包括 Windows 、 macOS 版 Chrome 137.0.7151.68/.69,以及 Linux 版 Chrome 137.0.7151.68 將在未來幾個星期內推向 Stable 通道,提供給所有用戶。
CVE-2025-5419 是 Google Chrome 最新一個零時差漏洞。今年三月,Google 也曾緊急修補 Chrome 的零時差漏洞 CVE-2025-2783,後者讓攻擊者的惡意檔案得以逃逸 Chrome 的沙箱。卡巴斯基研究人員發現,本漏洞被用於監聽俄羅斯政府機構、記者和學術單位。
來源:The Register