Google 于周二发布了谷歌浏览器140 稳定版,修复了六个安全漏洞,其中四个由外部研究人员报告。
其中最严重的漏洞是 CVE-2025-9864,这是一个存在于 V8 JavaScript 引擎中的高危 use-after-free(释放后重用)问题,由 Yandex 安全团队发现。
根据Google公告,该漏洞不会支付漏洞赏金,漏洞细节将在补丁覆盖大多数用户之前保持保密。
作为一种内存破坏类型漏洞,V8 中的 use-after-free 问题出现在 JavaScript 代码在对象内存被释放后仍可访问该对象时,可能导致堆内存损坏。
攻击者可能通过构造特定 HTML 页面来利用这一堆内存破坏,常被用于实现远程代码执行(RCE)。
另外三个由外部研究人员报告的安全漏洞被评为中危,分别出现在 谷歌浏览器 的 工具栏、扩展程序以及下载组件中,属于“不当实现”问题。
Google 为这些漏洞支付了不同额度的奖励,分别为 5,000 美元、4,000 美元和 1,000 美元。其中,扩展程序的漏洞最早在 2024 年 11 月被报告。
最新版谷歌浏览器已经开始推送:
Windows 和 macOS:140.0.7339.80/81
Linux:140.0.7339.80
扩展稳定版(Extended Stable Channel):Windows 和 macOS 更新至 140.0.7339.81
Google没有提及这些漏洞是否已在野外被利用,但仍提醒用户应尽快更新浏览器,以确保安全。
本文由Google浏览器下载网提供。