谷歌公司發(fā)現(xiàn)Chrome瀏覽器存在兩個(gè)高危漏洞后，緊急發(fā)布了安全更新。這些漏洞可能讓攻擊者竊取敏感數(shù)據(jù)并獲取用戶系統(tǒng)的未授權(quán)訪問權(quán)限。

這兩個(gè)漏洞編號(hào)為CVE-2025-3619和CVE-2025-3620，影響Windows和Mac平臺(tái)135.0.7049.95/.96之前版本，以及Linux平臺(tái)135.0.7049.95之前版本的Chrome瀏覽器。更新將在未來數(shù)日乃至數(shù)周內(nèi)向全球用戶逐步推送。

高危漏洞技術(shù)細(xì)節(jié)

其中更嚴(yán)重的CVE-2025-3619是Chrome編解碼器組件中的堆緩沖區(qū)溢出漏洞。攻擊者可利用Chrome處理特定媒體文件時(shí)的缺陷執(zhí)行任意代碼，可能導(dǎo)致系統(tǒng)完全淪陷及數(shù)據(jù)泄露。

第二個(gè)漏洞CVE-2025-3620存在于USB組件中，屬于"釋放后使用"(use-after-free)類型漏洞，同樣可被利用來執(zhí)行惡意代碼或獲取系統(tǒng)未授權(quán)訪問權(quán)限。

安全專家警告稱，這些漏洞特別危險(xiǎn)之處在于它們支持遠(yuǎn)程利用——用戶只需訪問惡意網(wǎng)站或與受污染內(nèi)容交互就可能觸發(fā)漏洞。

一旦漏洞被利用，攻擊者可以竊取瀏覽器中存儲(chǔ)的密碼、財(cái)務(wù)信息等敏感數(shù)據(jù)，甚至完全控制受影響的設(shè)備。

所有在桌面平臺(tái)使用舊版Google Chrome的用戶都會(huì)受到影響，包括依賴Chrome進(jìn)行網(wǎng)頁瀏覽和數(shù)據(jù)管理的個(gè)人用戶、企業(yè)及政府機(jī)構(gòu)。那些在瀏覽器中保存密碼、信用卡信息或個(gè)人數(shù)據(jù)的用戶若未及時(shí)更新，將面臨身份盜用和欺詐的極高風(fēng)險(xiǎn)。

立即更新至安全版本

作為響應(yīng)，谷歌已發(fā)布Chrome 135.0.7049.95/.96（Windows/Mac）和135.0.7049.95（Linux）版本修復(fù)這些關(guān)鍵漏洞。在更新部署期間，公司暫時(shí)限制了對(duì)漏洞詳細(xì)信息的訪問以保護(hù)用戶。谷歌特別致謝外部安全研究員Elias Hohl和@retsew0x01報(bào)告漏洞，凸顯了協(xié)作維護(hù)瀏覽器安全的重要性。

谷歌內(nèi)部安全工具（包括AddressSanitizer、MemorySanitizer和libFuzzer）在漏洞被廣泛利用前檢測(cè)和緩解威脅方面發(fā)揮了關(guān)鍵作用。

安全機(jī)構(gòu)和谷歌強(qiáng)烈建議所有Chrome用戶立即將瀏覽器更新至最新穩(wěn)定版，操作步驟如下：

• 打開Chrome，點(diǎn)擊右上角三點(diǎn)菜單
• 選擇"幫助">"關(guān)于Google Chrome"
• 瀏覽器將自動(dòng)檢查并安裝最新更新
• 重啟瀏覽器完成更新

雖然目前尚未確認(rèn)這些漏洞在野被利用的情況，但其性質(zhì)意味著未打補(bǔ)丁的系統(tǒng)仍處于高風(fēng)險(xiǎn)狀態(tài)。網(wǎng)絡(luò)安全專家強(qiáng)調(diào)，定期更新瀏覽器是防范不斷演變的威脅、預(yù)防數(shù)據(jù)泄露和系統(tǒng)淪陷的必要措施。