在发现两个关键漏洞后,谷歌发布了Chrome浏览器的紧急安全更新。这些漏洞可能允许攻击者窃取敏感数据并未经授权访问用户系统。
这些缺陷被识别为CVE-2025-3619和CVE-2025-3620,在Windows和Mac的135.0.7049.95/.96之前影响Chrome版本,影响Linux的135.0.7049.95/.96。该更新将在未来几天和几周内在全球范围内推出。
关键 Chrome 漏洞
其中最严重的是CVE-2025-3619 ,是Chrome的编解码器组件中的堆缓冲区溢出。此漏洞可允许攻击者通过利用Chrome处理某些媒体文件的方式执行任意代码,可能导致完整系统泄露和数据窃取。
Google 新闻
第二个是CVE-2025-3620,是USB组件中的"use-after-free"漏洞,也可以用来执行恶意代码或未经授权访问系统。
安全专家警告说,vulnerabilities这些漏洞特别危险,因为它们可以被远程利用,只需要用户访问恶意网站或与受损内容进行交互。
一旦被利用,攻击者可能会窃取存储在浏览器中的密码、财务信息和其他敏感数据,甚至控制受影响的设备。
这些漏洞会影响在桌面平台上运行过时版本的Google Chrome的所有用户。这包括依赖Chrome进行网页浏览和数据管理的个人、企业和政府组织。
如果浏览器没有及时更新,在 Chrome 中存储密码、信用卡详细信息或个人信息的用户尤其容易受到身份盗窃和欺诈。
补丁 -- 立即更新!
谷歌通过发布适用于Windows和Mac的Chrome版本135.0.7049.95/.96和Linux的135.0.7049.95作为回应,解决了这些关键缺陷。
该公司暂时限制访问详细的错误信息,以保护用户,而更新正在部署。Google 将外部安全研究人员 Elias Hohl 和 @retsew0x01 归功于报告漏洞,强调了协作在维护浏览器安全方面的重要性。
该公司的内部安全工具,包括AddressSanitizer,MemorySantizer和libFuzzer,在发现和减轻这些威胁之前,在它们被广泛利用之前发挥了关键作用。
安全机构和谷歌强烈敦促所有Chrome用户立即更新他们的浏览器到最新的稳定版本。这样做:
打开Chrome并单击右上角的三点菜单。
导航到帮助 > 关于 Google Chrome。
Chrome 将自动检查更新并安装最新版本。
重新启动浏览器以应用更新。虽然没有确认在野外进行积极开发,但这些漏洞的性质意味着未修补的系统仍然面临高风险。网络安全专家强调,定期更新浏览器对于防止不断变化的威胁和防止数据泄露或系统泄露至关重要。