Google公告即将在近日内释出桌机版Chrome更新,以修补3项漏洞,包含一个遭滥用的V8元件高风险漏洞。
最新的Windows、macOS版Chrome 137.0.7151.68/.69,以及Linux版Chrome 137.0.7151.68将在未来几天到几周,经由Stable通道逐步部署给所有用户。
这次更新包含三项漏洞的修补程式,分别为高、中、低度风险漏洞各一。其中高风险漏洞编号CVE-2025-5419,为影响JavaScript引擎V8的越界读写漏洞,它是由Google威胁分析部门Clement Lecigne和Benoit Sevens通报。
根据NIST漏洞资料库网页说明,本漏洞允许远端攻击者透过改造HTML网页,引发记忆体堆积(heap)毁损,CVSSv3 score为8.8。
Google已在最新版Chrome中变更配置以解决本漏洞。但Google警告已发现滥用CVE-2025-5419的活动。不过Google表示在多数Chrome用户安装完更新前,为确保用户安全,将暂时保留技术细节,并呼吁用户及早安装更新。
另一个中度风险漏洞编号为CVE-2025-5068,为排版引擎Blink的使用已释放记忆体(use-after-free)漏洞,由代号Walkman的研究人员通报。和前者类似,根据NIST资料库说明,CVE-2025-5068允许远端攻击者改造HTML网页,引发记忆体堆积(heap)毁损。虽然Google将本漏洞列为中度风险,但安全厂商Tenable网站显示为CVSS score 8.8,属高风险。