Chrome用戶急需更新!Google修補高危險漏洞 駭客可遠端執行任意程式碼
記者孫敬/編譯
Google已針對旗下Chrome瀏覽器發布了一項緊急安全更新,以修復一個高嚴重性的「Use-after-free」(釋放後使用)漏洞,該漏洞可能允許攻擊者在用戶的系統上執行任意程式碼。
這個修補程式已包含在Linux平台的141.0.7390.107版本,以及Windows和macOS平台的141.0.7390.107/.108版本中,並已於本週開始部署到穩定(Stable)通道。完整發布說明已詳細說明了這些變更,預計更新將在未來幾天或幾週內推送給大多數用戶。
延伸閱讀:Google與微軟用戶注意!職缺郵件詐騙橫行 駭客鎖定企業帳號竊取憑證
漏洞位於核心功能,只需造訪網頁即可觸發攻擊
這個漏洞追蹤編號為CVE-2025-11756,存在於Chrome的Google安全瀏覽(Google Safe Browsing)功能,該功能保護用戶免受惡意網站和網路釣魚企圖的侵害。此漏洞由獨立研究人員「as nine」於2025年9月 25日發現,並贏得Google漏洞獎勵計畫7,000美元獎金。
「Use-after-free」(釋放後使用)錯誤通常發生在軟體繼續引用一塊已經被釋放(回收)的記憶體時,這可能導致程式崩潰、數據損壞,甚至被惡意利用。在這次的案例中,攻擊者可以利用這個錯誤注入並運行惡意程式碼,進而繞過瀏覽器的安全沙盒機制,最終危及整個瀏覽器環境。
Google將這個問題歸類為高嚴重性,並強調其具有無需用戶互動即可遠端利用,用戶只需造訪一個被操控的網頁就可能觸發攻擊。
Google建議立即檢查並更新Chrome瀏覽器
目前尚未有關於此漏洞在實際環境中被大規模利用的報告,但Google一開始選擇不公開這些漏洞細節,以確保大多數用戶在細節被廣泛公開之前完成更新。這符合Chrome的安全立場,即延後公開完整資訊直到多人收到更新檔。
這次修復也得益於Google的一整套偵測工具,包括AddressSanitizer、MemorySanitizer和libFuzzer,這些工具協助在開發早期就識別記憶體相關的錯誤。Google強烈建議所有用戶立即透過瀏覽器設定選單或等待自動推送,來更新Chrome瀏覽器。
資料來源:Cyber Security News
