更多全球网络安全资讯尽在邑安全
谷歌在发现两个高危漏洞后,已紧急为其Chrome浏览器推出安全更新。这些漏洞可能允许攻击者窃取敏感数据并越权访问用户系统。
编号为CVE-2025-3619和CVE-2025-3620的漏洞影响以下版本:
-
Windows/Mac:低于135.0.7049.95/.96
-
Linux:低于135.0.7049.95更新将在未来数日/周内向全球用户逐步推送。
漏洞技术细节
-
CVE-2025-3619(堆缓冲区溢出)
-
位置:Chrome多媒体编解码器组件
-
危害:通过构造恶意媒体文件(如视频、音频)触发内存破坏,实现远程代码执行(RCE),可导致系统完全控制与数据窃取。
-
CVE-2025-3620(释放后重用漏洞)
-
位置:Chrome USB组件
-
危害:利用物理USB设备或WebUSB接口漏洞,实现恶意代码执行或越权系统访问。
攻击风险
-
远程利用:用户仅需访问恶意网页或交互式内容即可触发漏洞,无需物理接触设备。
-
数据威胁:成功利用后可窃取浏览器存储的密码、金融信息等敏感数据,甚至完全控制受感染设备。
-
影响范围:所有未更新Chrome的桌面用户(个人/企业/政府机构),尤其是依赖Chrome管理敏感信息的组织。
修复与行动指南
立即升级至最新版本:
-
Windows/Mac:135.0.7049.95/.96
-
Linux:135.0.7049.95
手动更新步骤:
-
打开Chrome,点击右上角 ⋮ 菜单
-
选择 帮助 > 关于Google Chrome
-
自动下载更新后,点击 重新启动
企业建议:
-
通过组策略(GPO)或Chrome Enterprise强制部署更新
-
临时禁用高风险功能(如WebUSB)直至升级完成
补充信息
-
漏洞报告者:外部安全研究员Elias Hohl与@retsew0x01
-
谷歌防御工具:AddressSanitizer、MemorySanitizer、libFuzzer等工具在漏洞大规模利用前成功拦截威胁
-
技术细节管控:谷歌已暂时限制漏洞详情公开,建议通过Chrome漏洞奖励计划获取更新
安全警示:尽管当前未监测到野外攻击,但未修复系统仍处于高风险状态。建议所有用户立即更新浏览器并启用"增强型安全浏览"功能。
原文来自: cybersecuritynews.com
原文链接: https://cybersecuritynews.com/critical-chrome-vulnerability-steal-data/
原文始发于微信公众号(邑安全):Chrome曝高危漏洞,攻击者可窃取数据并越权访问
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论