Google Chrome桌機版更新修補已遭濫用的零時差漏洞

Google公告即將在近日內釋出桌機版Chrome更新，以修補3項漏洞，包含一個遭濫用的V8元件高風險漏洞。

最新的Windows、macOS版Chrome 137.0.7151.68/.69，以及Linux版Chrome 137.0.7151.68將在未來幾天到幾周，經由Stable通道逐步部署給所有用戶。

這次更新包含三項漏洞的修補程式，分別為高、中、低度風險漏洞各一。其中高風險漏洞編號CVE-2025-5419，為影響JavaScript引擎V8的越界讀寫漏洞，它是由Google威脅分析部門Clement Lecigne和Benoit Sevens通報。

根據NIST漏洞資料庫網頁說明，本漏洞允許遠端攻擊者透過改造HTML網頁，引發記憶體堆積（heap）毁損，CVSSv3 score為8.8。

Google已在最新版Chrome中變更配置以解決本漏洞。但Google警告已發現濫用CVE-2025-5419的活動。不過Google表示在多數Chrome用戶安裝完更新前，為確保用戶安全，將暫時保留技術細節，並呼籲用戶及早安裝更新。

另一個中度風險漏洞編號為CVE-2025-5068，為排版引擎Blink的使用已釋放記憶體（use-after-free）漏洞，由代號Walkman的研究人員通報。和前者類似，根據NIST資料庫說明，CVE-2025-5068允許遠端攻擊者改造HTML網頁，引發記憶體堆積（heap）毁損。雖然Google將本漏洞列為中度風險，但安全廠商Tenable網站顯示為CVSS score 8.8，屬高風險。