Google 已确认 Chrome 浏览器存在一个严重安全漏洞,该漏洞影响着 Windows、Mac、Linux 和Android 平台上的数十亿用户。
这一漏洞可能使攻击者通过精心制作的网页执行任意代码,促使 Google 紧急发布更新,以便在该漏洞被广泛利用之前解决问题。
Chrome Lens 中的释放后使用漏洞
该安全漏洞编号为 CVE-2025-2476,已被归类为 Chrome Lens 中一种严重的释放后使用(UAF)内存漏洞。
它由 Enki Whitehat 的安全研究员 SungKwon Lee 于 2025 年 3 月 5 日发现并报告。
这一严重问题可能使远程攻击者通过精心制作的 HTML 页面利用堆损坏漏洞。
释放后使用漏洞是一类特别危险的内存管理缺陷,当程序在释放内存后继续引用该内存时就会出现此类漏洞。
实际上,在内存合并发生之前引入恶意数据时,攻击者就有可能利用这种情况在受影响的系统上执行任意代码。
美国国家标准与技术研究院(MITRE)的通用缺陷枚举数据库将释放后使用漏洞描述为内存释放后被不当重用的情形,这可能导致系统被入侵。
Google 的 AddressSanitizer 是一种内存错误检测工具,专门用于在开发阶段识别此类缺陷,凸显了它们在现代浏览器安全中的重要性。
对用户的安全影响
成功利用这一漏洞可能使攻击者以登录用户的相同权限执行任意代码。
这意味着,根据用户的权限级别,攻击者有可能:
1.安装未经授权的程序。
2.访问、修改或删除敏感数据。
3.创建拥有完整用户权限的新账户。
4.完全控制受影响的系统。
该漏洞影响 Windows 和 Mac 上 Chrome 134.0.6998.117/.118 之前的版本,以及 Linux 平台上 Chrome 134.0.6998.117 之前的版本。
虽然尚未证实该漏洞在实际环境中已被主动利用,但 Google 给出的严重评级强调了用户立即更新的紧迫性。
2025 年 3 月 19 日,Google 发布了安全更新以修复该漏洞。稳定版通道已更新至 Windows 和 Mac 上的 134.0.6998.117/.118 版本,以及 Linux 用户的 134.0.6998.117 版本。
扩展稳定版通道也已更新至 Windows 和 Mac 系统上的 134.0.6998.89 版本。
Google 采取了一项标准做法,即在大多数用户更新浏览器之前限制详细的漏洞信息披露,为用户提供一个关键的保护窗口,以便他们保护自己的系统。
如何保护你的系统
强烈建议用户立即通过以下方式更新 Chrome 安装:
1.打开 Chrome,点击右上角的三点菜单。
2.导航至 “帮助”>“关于 Google Chrome”。
3.让 Chrome 自动检查并安装最新更新。
4.重启浏览器以完成更新过程。
更新将在未来几天和几周内逐步推出,但鉴于此安全问题的严重性,用户不应等待自动更新,而应手动核实自己是否运行的是最新版本。
发表评论
您还未登录,请先登录。
登录