谷歌于 9 月 XNUMX 日宣布 安全更新 适用于 Chrome 的修复 两个相关漏洞:一个被归类为“严重”,另一个被归类为“高危”。该公司建议尽快安装补丁,以最大程度地降低漏洞利用风险,尤其是在日常设备上。
这两个漏洞都是在 8 月份通过 Google 的奖励计划报告的,现在都有官方标识符。 CVE-2025-10200 (批评)和 CVE-2025-10201 (高)。虽然影响程度不同,但两者都为攻击场景打开了大门,应该采取 立即更新.
Chrome 紧急更新
严重故障,记录为 CVE-2025-10200,是 ServiceWorker 组件中的一个 use-after-free 错误。简单来说,浏览器会尝试使用 内存已释放,可能会引发数据损坏或允许 任意代码执行 如果与其他技术结合。
攻击者可以构建一个恶意网站,当受害者使用 Chrome 浏览器访问时,代码就会在受害者的系统上执行。该攻击向量基于 专门设计的网页内容,使得该漏洞成为用户和组织的修补优先事项。
第二次故障:Mojo 严重程度较高
第二个漏洞, CVE-2025-10201,被描述为 Mojo(Chromium 用于进程间通信的一组库)中的一种不恰当的实现。主要风险在于攻击者可能 削弱或损害沙盒 浏览器的一个关键组件,它隔离进程以限制漏洞的范围。
虽然并非所有实际影响都已公开披露,但 Mojo 中的此类漏洞可能会促成更复杂的攻击链。因此,建议立即应用补丁,并 检查安装的版本 在所有团队中。
修复版本以及如何更新
Google 已发布适用于 Windows、macOS 和 Linux 的版本,修复这两个错误。如果您的浏览器尚未自动更新,请立即更新。 手动审核和更新:
- Windows上: 140.0.7339.127 / .128
- 苹果系统: 140.0.7339.132 / .133
- Linux的: 140.0.7339.127
Chrome(桌面版)强制更新的步骤: 菜单 > 帮助 > Google Chrome 信息浏览器将检查最新可用版本,如果可用,则开始下载。
- 打开右上角的三点菜单。
- 前往“帮助”。
- 选择关于 Google Chrome。
- 等待下载并按 重启 如果有要求的话。
该过程通常需要 只需几秒钟重新启动后,请验证版本号是否与修复的版本匹配,以确保补丁已正确应用。
其他基于 Chromium 的浏览器
由于故障存在于 铬,浏览器喜欢 Microsoft Edge、Brave、Opera 或 Vivaldi 也可能受到影响。开发人员通常会发布补丁 24-48小时内 自从 Google 发布帖子以来,但手动检查是个好主意。
如果您使用这些浏览器,请进入其设置菜单并强制检查更新。保持浏览器更新可以显著减少攻击面,并防止 不必要的安全问题.
奖励和发现年表
严重故障报告来自 杨洛本 22 月 43.000 日,谷歌悬赏 XNUMX 美元。该高危漏洞由 萨汉·费尔南多 以及一位匿名研究人员,奖励 30.000 美元。
谷歌于 9 月 XNUMX 日发布了公开声明,详细说明修复程序现已可用。获取修复程序的官方途径始终是通过 Chrome 更新程序本身或 谷歌网站;避免第三方来源。
快速提问
这会影响 Chrome 移动版吗?
根据提供的信息,这些更正的范围主要集中在 Windows,macOS和Linux 桌面设备。尚未发现对移动设备有任何影响。
如果我不更新,会面临什么风险?
您可能会面临代码执行的风险,或者 打破孤立 浏览器,此外还会导致性能下降和隐私泄露。
我是否也必须更新扩展?
它们与这两个 CVE 无关,但建议保留它们 总是更新 以防止额外的攻击媒介。
现在的关键很简单:保持 Chrome 和基于 Chromium 的浏览器为固定版本,验证已安装的版本,并仅使用 官方资料应用补丁后,Windows、macOS 和 Linux 系统上与 CVE-2025-10200 和 CVE-2025-10201 相关的风险得到缓解。
