Chrome查獲高危險等級「釋放後使用」資安漏洞 安裝更新檔已上線
記者孫敬/編譯
Google近日針對Chrome瀏覽器發布安全更新,其中一項高危險等級的漏洞「CVE-2025-8292」,恐讓攻擊者得以操縱記憶體,甚至在使用者系統上執行任意程式碼。為保障網路安全,用戶務必立即將瀏覽器更新至最新版本,Linux為Chrome 138.0.7204.183,Windows和Mac系統則為138.0.7204.183/.184。
核心漏洞恐遭遠端攻擊,記憶體損壞風險升高
CVE-2025-8292在這次資安通報,屬於Chrome「媒體串流」(Media Stream)元件中的「釋放後使用」(use-after-free)漏洞,惡意人士可透過特製的HTML網頁進行遠端攻擊。
一旦攻擊得逞,駭客輕則可能導致瀏覽器崩潰,重則能在受影響的系統上執行惡意程式碼,進而取得未經授權的存取權限,包括安裝惡意程式、竊取或竄改資料,甚至建立具備完整權限的新使用者帳戶。
一位匿名安全研究人員,於2025年6月19日將這項漏洞通報給Google,並透過「漏洞賞金計畫」獲得8,000美元的獎金。為避免漏洞被大規模利用,Google依照慣例,限制公開該漏洞的完整細節,讓用戶有時間完成修補。
強化資安防線,Chrome持續修補多重漏洞
本次更新是Chrome 138系列版本一系列安全修補工作的一部分。今年7月稍早,Google便已處理了其他高危險等級的漏洞,其中包含一個已知被主動利用的「零日攻擊」(Zero-day exploit),編號為CVE-2025-6558。該漏洞涉及ANGLE和GPU元件的輸入驗證錯誤,存在嚴重的「沙盒逃逸」(sandbox escape)風險。
在今年6月和7月期間,Chrome 138版本已陸續接收多次更新,例如V8 JavaScript引擎中的「類型混淆」(type confusion)錯誤,以及其他與記憶體相關的缺陷。Google的資安團隊持續透過內部審核、模糊測試(fuzzing)及其他安全措施,解決潛在漏洞。Google亦仰賴AddressSanitizer和MemorySanitizer等工具,在記憶體相關錯誤被惡意利用前加以偵測。
最新版Chrome的更新訊息將在未來幾天至數週內陸續進行,可透過瀏覽器選單中的「說明」(Help)>「關於Google Chrome」(About Google Chrome),確認自己的瀏覽器是否已更新至最新版本。
資料來源:Cyber Security News
