Chrome紧急更新,谷歌修复正遭活跃利用的关键零日漏洞
谷歌已针对桌面版Chrome发布重要稳定渠道更新(版本138.0.7204.157/.158),修复了六个安全漏洞,其中包括一个已被实际利用的漏洞。该更新正在向Windows、Mac和Linux平台推送,预计未来数日或数周内将通过自动更新完成部署。
高危ANGLE组件漏洞
本次更新最紧急修复的是CVE-2025-6558漏洞,该高危漏洞涉及ANGLE(Almost Native Graphics Layer Engine,准原生图形层引擎)和GPU组件中对不可信输入的验证缺陷。这个由谷歌威胁分析小组(TAG)专家Clément Lecigne和Vlad Stolyarov发现的漏洞,目前正被攻击者用于在目标机器上获取未授权访问或执行恶意代码。
"谷歌确认CVE-2025-6558漏洞的利用代码已在野出现。"官方声明中特别强调。ANGLE作为将WebGL等图形调用转换为主机系统原生API的关键层,其漏洞可能让攻击者通过操控渲染过程来运行恶意代码。
其他高危漏洞修复
除CVE-2025-6558外,谷歌还修复了以下高危漏洞:
- CVE-2025-7656:Chrome JavaScript引擎V8中的整数溢出漏洞,由研究员Shaheen Fazim报告并获得7000美元漏洞赏金。该漏洞可能被利用破坏内存并导致任意代码执行。
- CVE-2025-7657:WebRTC实时通信协议中的释放后使用(use-after-free)漏洞,影响视频、语音和文件共享功能。研究员jakebiles发现的这个缺陷可能导致内存损坏及远程崩溃或系统沦陷。
立即更新指南
无论使用Windows、Mac还是Linux平台,用户都应立即更新Chrome浏览器。虽然Chrome通常会自动在后台更新,但用户可通过访问设置 > 关于Chrome > 更新手动检查。更新完成后需重启浏览器以确保补丁生效。