重大Chrome漏洞致攻击者可执行任意代码

Google 已确认 Chrome 中存在一个严重安全漏洞，该漏洞影响了 Windows、Mac、Linux 和 Android 平台上的数十亿用户。

该漏洞可能允许攻击者通过特制网页执行任意代码，促使紧急更新版本在广泛利用之前解决该问题。

Chrome Lens 中的释放后使用漏洞

被跟踪为 CVE-2025-2476 的安全漏洞已被归类为 Chrome 的 Lens 组件中的严重释放后使用 （UAF） 内存漏洞。

它由 Enki Whitehat 的安全研究员 SungKwon Lee 于 2025 年 3 月 5 日发现并报告。

此严重问题可能允许远程攻击者通过特别构建的 HTML 页面来利用堆损坏。

释放后使用漏洞是一类特别危险的内存管理缺陷，当程序在释放内存后继续引用内存时，就会出现这些缺陷。

实际上，如果在内存合并发生之前引入恶意数据，攻击者可能会利用此条件在受影响的系统上执行任意代码。

MITRE Common Weakness Enumeration 数据库将释放后使用漏洞描述为内存在释放后被不当重用，可能导致系统受损的情况。

Google 的 AddressSanitizer 是一种内存错误检测工具，专门用于在开发阶段识别此类缺陷，突出它们在现代浏览器安全中的重要性。

对用户的安全影响

成功利用此漏洞可让攻击者以与登录用户相同的权限执行任意代码。

这意味着，根据用户的权限级别，攻击者可能会：

• 安装未经授权的程序
• 访问、修改或删除敏感数据
• 创建具有完全用户权限的新帐户
• 完全控制受影响的系统

该漏洞影响 Windows 和 Mac 上低于 134.0.6998.117/.118 的 Chrome 版本，以及 Linux 平台上的 134.0.6998.117 之前的Chrome 版本。

虽然尚未在野外证实任何主动利用，但 Google 的批评评级强调了用户立即更新的紧迫性。

2025 年 3 月 19 日，Google 发布了安全全更新以解决此漏洞。稳定频道已更新至版本 134.0.6998.117/.118（适用于 Windows 和 Mac）和 134.0.6998.117（适用于 Linux 用户）。

适用于 Windows 和 Mac 系统的扩展稳定频道也已更新到版本 134.0.6998.89。

Google 实施了一项标准做法，即在大多数用户更新浏览器之前限制详细的漏洞信息，为用户提供一个关键的保护窗口来保护他们的系统。

如何保护您的系统

强烈建议用户立即通过以下方式更新其 Chrome 安装：

• 打开 Chrome 并单击右上角的三点菜单
• 导航到“帮助”> Google Chrome

• 允许 Chrome 自动检查并安装最新更新
• 重新启动浏览器以完成更新过程

此更新将在未来几天和几周内推出，但用户不应等待自动更新，而应手动验证他们运行的是最新版本，尤其是考虑到此安全问题的关键性质。

原文来自: cybersecuritynews.com