Chrome浏览器存在高危漏洞，可致攻击者窃取敏感信息并引发系统崩溃

谷歌已针对其Chrome浏览器发布紧急安全更新，修复三个高危漏洞，这些漏洞可能允许攻击者访问敏感信息或导致系统崩溃。

公司建议用户立即更新浏览器，以降低与这些漏洞相关的潜在风险。

最新补丁将Windows和Mac版Chrome稳定通道版本升级至140.0.7339.207/.208，Linux版升级至140.0.7339.207。更新将在未来几天至几周内自动推送，但用户可手动触发更新以立即获得保护。

三个高危漏洞均存在于V8 JavaScript和WebAssembly引擎中——这是Chrome的核心组件，负责执行程序代码。

1. CVE-2025-10890：侧信道信息泄露漏洞。外部安全研究员Mate Marjanović报告了此漏洞。攻击者可诱使用户访问恶意网站，利用该漏洞读取浏览器内存中的敏感数据，绕过旨在隔离信息的安全措施。
2. CVE-2025-10891和CVE-2025-10892：均为V8引擎中的整数溢出漏洞，由谷歌Big Sleep研究团队内部发现。整数溢出是一种常见软件缺陷，当数值超出内存分配空间时会“回绕”，导致意外行为。

攻击者可能的利用方式

成功利用这些漏洞通常需要攻击者诱骗受害者访问特制的恶意网页：

1. 对于CVE-2025-10890，页面中的恶意代码可触发侧信道漏洞，使攻击者推断用户设备上其他网站或进程的数据。
2. 两个整数溢出漏洞若被利用，可能导致浏览器突然崩溃。尽管谷歌公告未明确确认，但整数溢出有时可与其他漏洞链结合，实现对受影响系统的完全控制，因此威胁严重。

谷歌的应对措施与用户建议

根据标准安全政策，谷歌目前限制公开这些漏洞的技术细节和利用证明（PoC），以防止大规模攻击，待更新广泛部署后再解除限制。

谷歌强烈建议所有Chrome用户确保浏览器更新至最新版本。检查和安装更新的步骤：

1. 打开Chrome菜单，选择“帮助”；
2. 点击“关于Google Chrome”；
3. 浏览器将自动扫描最新版本，并提示重启以完成安装。

谷歌还对发现和报告这些漏洞的安全研究员表示感谢，强调维护浏览器安全需要协作努力。公司指出，许多安全漏洞通过AddressSanitizer、MemorySanitizer等高级测试工具和各种模糊测试库检测，从而在漏洞进入稳定通道前修复。