谷歌公司发现Chrome浏览器存在两个高危漏洞后,紧急发布了安全更新。这些漏洞可能让攻击者窃取敏感数据并获取用户系统的未授权访问权限。
这两个漏洞编号为CVE-2025-3619和CVE-2025-3620,影响Windows和Mac平台135.0.7049.95/.96之前版本,以及Linux平台135.0.7049.95之前版本的Chrome浏览器。更新将在未来数日乃至数周内向全球用户逐步推送。
高危漏洞技术细节
其中更严重的CVE-2025-3619是Chrome编解码器组件中的堆缓冲区溢出漏洞。攻击者可利用Chrome处理特定媒体文件时的缺陷执行任意代码,可能导致系统完全沦陷及数据泄露。
第二个漏洞CVE-2025-3620存在于USB组件中,属于"释放后使用"(use-after-free)类型漏洞,同样可被利用来执行恶意代码或获取系统未授权访问权限。
安全专家警告称,这些漏洞特别危险之处在于它们支持远程利用——用户只需访问恶意网站或与受污染内容交互就可能触发漏洞。
一旦漏洞被利用,攻击者可以窃取浏览器中存储的密码、财务信息等敏感数据,甚至完全控制受影响的设备。
所有在桌面平台使用旧版Google Chrome的用户都会受到影响,包括依赖Chrome进行网页浏览和数据管理的个人用户、企业及政府机构。那些在浏览器中保存密码、信用卡信息或个人数据的用户若未及时更新,将面临身份盗用和欺诈的极高风险。
立即更新至安全版本
作为响应,谷歌已发布Chrome 135.0.7049.95/.96(Windows/Mac)和135.0.7049.95(Linux)版本修复这些关键漏洞。在更新部署期间,公司暂时限制了对漏洞详细信息的访问以保护用户。谷歌特别致谢外部安全研究员Elias Hohl和@retsew0x01报告漏洞,凸显了协作维护浏览器安全的重要性。
谷歌内部安全工具(包括AddressSanitizer、MemorySanitizer和libFuzzer)在漏洞被广泛利用前检测和缓解威胁方面发挥了关键作用。
安全机构和谷歌强烈建议所有Chrome用户立即将浏览器更新至最新稳定版,操作步骤如下:
-
打开Chrome,点击右上角三点菜单
-
选择"帮助">"关于Google Chrome"
-
浏览器将自动检查并安装最新更新
-
重启浏览器完成更新
虽然目前尚未确认这些漏洞在野被利用的情况,但其性质意味着未打补丁的系统仍处于高风险状态。网络安全专家强调,定期更新浏览器是防范不断演变的威胁、预防数据泄露和系统沦陷的必要措施。
推荐阅读
1
原文始发于微信公众号(信息安全大事件):Chrome 曝高危漏洞:攻击者可窃取数据并获取未授权访问权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论