Chrome 浏览器安全更新 - 高严重性漏洞导致代码执行

谷歌已经正式将Chrome 137推广到Windows、Mac和Linux平台的稳定渠道,标志着浏览器安全和人工智能集成的一个重要里程碑。Chrome团队于2025年5月27日宣布发布,该更新将在未来几天和几周内在全球范围内推出。

适用于 Linux 的 Chrome 137.0.7151.55 和适用于 Windows 和 Mac 的 137.0.7151.55/56 提供了实质性的安全改进,解决了外部研究人员和内部安全团队识别的 11 个漏洞。

该更新解决了几个高严重性问题,包括CVE-2025-5063,一个匿名研究人员于2025年4月18日报告的Compositing中的无使用漏洞,以及CVE-2025-5280,这是安全研究员pwn2car于2025年5月12日发现的V8中一个出界的写问题。

谷歌已经实施了一项全面的漏洞赏金计划,奖励安全研究人员的贡献。值得注意的付款包括莫里斯·道尔(Maurice Dauer)在后台获取API中发现不适当实现的4,000美元,用于NDevTK的FileSystemAccess API发现2,000美元,以及Mohit Raj识别消息漏洞的1,000美元。

该公司继续致力于透明度,同时保持负责任的披露做法,限制对错误详细信息的访问,直到大多数用户收到安全补丁。

Chrome 137中最具开创性的功能是集成了谷歌的Gemini Nano大型语言模型,该模型提供了设备内人工智能功能,以对抗复杂的网络威胁。这种创新明确针对技术支持骗局,这些骗局在欺骗用户的方法上变得越来越普遍和复杂。

人工智能系统完全在用户设备上运行,确保隐私,同时实时分析网页内容。当Chrome检测到特征性诈骗触发器(例如滥用键盘锁定API)时,Gemini Nano通过处理文本、布局和行为线索来评估页面的意图。

这种方法使Chrome能够检测欺骗模式,并为Google的安全浏览服务生成安全信号,提供针对平均平均存在不到10分钟的威胁的保护。

除了安全改进之外,Chrome 137还为Web平台引入了几项重大增强功能。更新包括支持画布渲染上下文中的浮点颜色类型,这对于医疗可视化和高动态范围内容等高精度应用至关重要。

此外,浏览器现在支持SVG<use>可以引用外部文档的根元素,而无需显式片段标识符的元素,简化 Web 开发工作流。

该版本还实现了Document-Isolation-Policy,使文档能够在不部署复杂安全标头的情况下实现跨源隔离,并将Ed25519加密算法支持添加到Web加密API中。

Chrome在浏览器市场的主导地位,截至2024年,在所有平台上拥有约65%的全球市场份额,这意味着这些安全增强将影响全球数十亿用户。

设备上AI的集成代表了浏览器安全性的范式转变,从基于响应式块状防御的防御转向主动的智能威胁检测。

该版本表明谷歌致力于利用人工智能进行网络安全,同时通过设备处理维护用户隐私,在日益复杂的网络威胁时代为浏览器安全设定了新标准。