Google 已发布 Chrome 桌面版(版本 138.0.7204.157/.158)的稳定通道关键更新补丁,修复了六个安全漏洞,其中一个(CVE-2025-6558)已经在被利用。此次更新正在为 Windows、macOS 和 Linux 用户陆续推送,未来几天内将自动完成更新部署。
本次更新中最紧急的漏洞为 CVE-2025-6558,其严重等级为“高”,涉及对 ANGLE 和 GPU 组件中不受信任输入验证的不当处理。
该漏洞由 Google 高级威胁分析小组(TAG)的 Clément Lecigne 和 Vlad Stolyarov 发现。Google 证实,“我们已知 CVE-2025-6558 已被用于现实攻击。”
ANGLE(Almost Native Graphics Layer Engine) 是 Chrome 图形渲染的关键组件,它将 WebGL 等图形调用转换为宿主系统支持的本地 API。该漏洞可能允许攻击者操控图形渲染流程,在用户设备上执行恶意代码。
除了 CVE-2025-6558,Google 还修复了以下高危漏洞:
-
CVE-2025-7656:V8 JavaScript 引擎中的整数溢出问题,由研究员 Shaheen Fazim 报告,并获得 7000 美元漏洞赏金。该漏洞可能导致内存破坏,从而实现任意代码执行。
-
CVE-2025-7657:WebRTC 实时通信协议中的“使用后释放”(use-after-free)漏洞,由 jakebiles 报告。该缺陷可能被利用造成内存破坏、远程崩溃,甚至系统被攻破。
使用任何平台(Windows、macOS、Linux)Chrome 浏览器的用户应立即进行更新。虽然 Chrome 通常会在后台自动更新,但用户可以手动前往:
设置 > 关于 Chrome > 检查更新
安装完成后请重启浏览器以确保补丁生效。
发表评论
您还未登录,请先登录。
登录