谷歌已经发布了针对Windows和Mac的137.0.7151.40 / .41版本的稳定通道更新,作为早期向有限用户群体推出的一部分。此更新包括八个安全修复程序,解决跨越内存安全漏洞、不当实现和 UI 级暴露的漏洞。
此更新中最严重的问题是CVE-2025-5063,这是Compositing组件中的高严重性无后端漏洞。该漏洞于2025年4月18日匿名报告。虽然由于披露限制,技术细节仍然有限,但无使用后漏洞往往构成严重风险,可能导致任意代码执行或浏览器崩溃。
另一个漏洞CVE-2025-5064涉及Chrome的Grockentge Fetch功能中不适当的实现。研究人员莫里斯·道尔(Maurice Dauer)报告了这个问题,并获得了4000美元的虫子赏金。Background Fetch 旨在允许大量下载完成,即使在标签关闭后,这里的任何缺陷都可能被滥用,以破坏内容完整性或在后台滥用浏览器 API。
研究人员NDevTK发现了Chrome的FileSystemAccess API中的一个缺陷,导致CVE-2025-5065。该 API 为 Web 应用程序提供了在受控权限下访问用户本地文件系统的权限。谷歌将该漏洞归类为中等严重程度,并以2000美元奖励了该报告。这里的不当实现可能会暴露敏感的用户数据,或者如果被恶意网站利用,则允许意外的文件操作。
由Mohit Raj(shadow2639)发现并奖励1000美元,CVE-2025-5066影响了Chrome的Messages组件。虽然此漏洞也获得了中等严重程度的评级,但消息组件在内部浏览器通信和用户界面反馈中发挥作用。不适当的实现可能会影响Chrome处理消息操作的方式,可能会打开逻辑缺陷或数据泄露的大门。
最后,Khalil Zhani报道了CVE-2025-5067,他获得了500美元的奖励。此漏洞涉及 Tab Strip,这是管理打开选项卡的 Chrome 用户界面的基本部分。虽然被归类为低严重程度,但即使是UI问题也会导致网络钓鱼风险或操纵用户感知,如果处理不当。该修复有助于保持浏览器视觉结构和交互逻辑的完整性。
建议用户和IT管理员通过访问:Chrome设置→帮助→关于Google Chrome进行验证,验证Chrome是否更新到最新版本。
发表评论
您还未登录,请先登录。
登录