聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌发布稳定版桌面频道的重要安全更新,修复了Chrome中的两个高危内存损坏漏洞CVE-2025-14765和CVE-2025-14766。Chrome 浏览器新发布版本是143.0.7499.146/.147(Windows和Mac)以及143.0.7499.146(Linux)。
安全专家建议管理员和用户在安全更新推出后立即应用,缓解这两个漏洞带来的风险。CVE-2025-14765是位于 WebGPU 中的释放后使用 (UAF) 漏洞。当程序在所定向的内存释放后仍然使用指针,则会触发UAF 漏洞。UAF是内存损坏漏洞的一种类型,常被黑客用于执行任意代码或破坏应用程序。谷歌在2025年9月30日向一名匿名研究员发放1万美元的赏金,足见其严重性。
CVE-2025-14766是一个位于V8引擎中的内存损坏漏洞,是“越界读写”漏洞,可导致攻击者读取或修改预期边界外的内存。在浏览器场景下,该漏洞通常可被用于逃逸渲染器沙箱或泄露敏感信息。该漏洞由安全研究员 Shaheen Fazim 在2025年12月8日报送。
虽然对于很多用户而言 Chrome 更新是自动完成的,但鉴于这些内存安全漏洞的严重性,有必要进行手动验证。
Chrome 浏览器更新步骤如下:
1、 打开Chrome浏览器,点击右上角的三个点菜单。
2、 选择“帮助”>“关于Google Chrome”。
3、 浏览器将自动检查更新并安装版本143.0.7499.146+。
4、 重新启动浏览器以完成修复。
管理企业设备群的系统管理员应确保立即将新版本推送至所有终端。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
谷歌紧急修复已遭利用的 Chrome 新 0day,无CVE编号
谷歌紧急修复已遭利用的Chrome V8 0day 漏洞
谷歌紧急修复已遭利用的 Chrome 0day
谷歌紧急修复已遭利用的 Chrome 0day漏洞
谷歌悄悄紧急修复已遭利用的 Chrome 0day
原文链接
https://securityonline.info/google-chrome-emergency-update-high-severity-memory-corruption-flaws-fixed-in-webgpu-and-v8/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
