Chrome 140版緊急修補高風險漏洞!Google:駭客可藉V8引擎遠端執行惡意程式碼
記者孫敬/編譯
Google已正式將Chrome 140版本推送到穩定通道,為Windows、Mac、Linux、Android和iOS等全平台啟動更新。這次更新除了帶來例行的穩定性與效能提升,最重要的是修復了6個安全漏洞,其中一個高風險漏洞可能導致遠端程式碼執行,對用戶構成嚴重威脅。
延伸閱讀:聯發科釋出9月產品安全公告 證實6個資安漏洞籲OEM業者儘速更新
V8引擎漏洞成攻擊破口,駭客可藉此執行惡意程式碼
為保護電腦與個資安全,強烈建議所有用戶立即更新瀏覽器。此版本桌面號為140.0.7339.80(Linux)和140.0.7339.80/81(Windows與Mac),行動版則為Android 140.0.7339.35與iOS 140.0.7339.95。雖然Google會逐步推送更新,但考量到漏洞的嚴重性,建議用戶手動檢查並盡快安裝。
本次修復中最嚴重的漏洞是編號為CVE-2025-9864的高風險漏洞,該漏洞發生在JavaScript與WebAssembly引擎V8中,屬於一種名為「釋放後使用」(Use after free)的錯誤,當程式在記憶體被釋放後,卻仍試圖使用指向該記憶體的指標時,就會產生這個漏洞。
攻擊者可透過操縱記憶體狀態,建立惡意的網頁來觸發這項錯誤。這可能導致瀏覽器當機,甚至在最糟糕的情況下,讓攻擊者在受害者的系統上執行惡意程式碼,並由Yandex安全團隊的Pavel Kuzmin於2025年7月28日向Google回報。
除了V8漏洞外,Google也修復了其他幾個由外部研究人員回報的中等風險漏洞。
- CVE-2025-9865: 工具列中不適當的實作。
- CVE-2025-9866: 擴充套件中不適當的實作。
- CVE-2025-9867: 下載功能中不適當的實作。
Google祭出重金獎勵,並以內部分析工具強化防禦
為了表彰外部研究人員的貢獻,Google已向他們支付總計1萬美元的獎金。除了外部回報的漏洞,此次更新還包含多項來自Google內部安全團隊的修復。Google表示,內部採用了嚴謹的審核流程與先進的測試工具,如 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer,以及libFuzzer和AFL等模糊測試技術,得以在漏洞進入穩定通道前就先行發現並排除。
為了防止駭客在用戶更新前利用漏洞,Google已限制對漏洞細節與連結的公開。用戶可透過前往Chrome的「關於Google Chrome」查看更新。
資料來源:Cyber Security News
