Google 发布了适用于 Chrome Desktop 的 Stable Channel 更新,在 Windows 和 macOS 上推出了版本 137.0.7151.103/.104,在 Linux 上推出了 137.0.7151.103。此更新带来了重要的安全修复,重点是解决两个高严重性漏洞,这些漏洞可能允许攻击者破坏用户系统。
按照标准做法,谷歌暂时限制访问这些漏洞的技术细节,以保护用户,直到大多数人收到更新。
第一个漏洞,CVE-2025-5958,是在Chrome的媒体组件中发现的一个无使用后漏洞。蚂蚁集团光年安全实验室的黄西林报道,当浏览器尝试使用已经从内存中释放的媒体对象时,可以触发此漏洞。使用后问题特别危险,因为如果攻击者在精心制作的场景中利用,例如恶意网页提供畸形媒体内容,则可能导致任意代码执行。
谷歌将这个问题评为高度严重,并为该报告授予了8,000美元的漏洞赏金,该报告于2025年5月25日提交。
第二个漏洞,CVE-2025-5599,是V8,Chrome的JavaScript引擎中的类型混淆缺陷。这个问题由Seunghyun Lee报道,作为2025年6月4日举行的TybokonPWN 2025黑客竞赛的一部分。当浏览器在执行过程中曲解对象的类型时,会发生类型混淆漏洞,可以利用这些对象读取或写入任意内存,最终实现沙箱转义或远程代码执行。
谷歌将这个问题归类为高度严重,因为它可能对浏览器完整性和用户安全产生影响。
Google 建议所有用户在 Chrome 桌面版本一经上市,即可更新版本为 137.0.751.103/.104。此更新将在未来几天和几周内自动推出。
发表评论
您还未登录,请先登录。
登录