谷歌为所有桌面平台的 Chrome 浏览器发布了紧急安全更新,以解决可能允许攻击者在用户系统上执行任意代码的关键漏洞。

该更新于 2025 年 6 月 17 日(星期二)推出,修补了三个重大安全漏洞,其中包括两个为外部研究人员赢得了总计 11,000 美元丰厚奖励的高严重性漏洞。

Windows 和 Mac 版 Chrome 浏览器稳定通道最新更新版本 137.0.7151.119/.120,以及 Linux 版 137.0.7151.119,解决了对用户安全构成重大风险的三个关键安全漏洞。

CVE-2025-6191:V8 中的整数溢出

这个高严重性漏洞被跟踪为 CVE-2025-6191,是 Chrome 浏览器 JavaScript 引擎 V8 中的一个整数溢出。

该漏洞由安全研究员沙欣-法齐姆(Shaheen Fazim)于 2025 年 5 月 27 日发现,并从谷歌漏洞奖励计划中获得了 7,000 美元的悬赏奖金。

特别是,该漏洞影响了 Chrome 浏览器的核心 JavaScript 处理引擎,该引擎每天要处理数十亿次跨网络应用程序的操作。

JavaScript 引擎中的整数溢出漏洞尤其危险,因为它们可能导致内存破坏,使攻击者能够在浏览器的沙盒环境中执行恶意代码。

CVE-2025-6192:在 Profiler 中使用 After Free

第二个高严重性漏洞(CVE-2025-6192)涉及 Chrome 浏览器的 Profiler 组件中的 "use-after-free "条件。

2025 年 5 月 31 日,研究人员 Chaoyuan Peng(@ret2happy)报告了这个漏洞,并获得了 4,000 美元的奖励。

该漏洞针对的是 Chrome 浏览器的性能剖析系统,开发人员和高级用户经常使用该系统进行调试和优化。

当程序在释放内存后继续使用内存时,就会出现 "释放后使用 "漏洞,攻击者有可能操纵内存内容并执行代码。

谷歌安全团队强调,在大多数用户更新浏览器之前,获取详细漏洞信息的权限仍然受到限制。

该公司还指出,如果这些漏洞影响到尚未实施修复的其他项目所使用的第三方库,则可能会继续实施限制。

用户需要立即采取的行动

所有桌面平台的 Chrome 浏览器用户必须立即更新,以防止这些漏洞可能被利用。

更新从周二开始,并将在未来几天和几周内通过 Chrome 浏览器的自动更新机制持续进行。

用户可以通过导航至 "Chrome 设置">"关于 Chrome "或访问浏览器地址栏中的 chrome://settings/help,手动检查更新。

对这些漏洞的快速反应表明了维护更新浏览器软件的极端重要性,并凸显了现代网络浏览器在兼顾功能性和用户保护时所面临的持续安全挑战。

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。