Chrome 138更新修補已被用於攻擊的GPU零時差漏洞

Google發布Chrome瀏覽器穩定版138.0.7204.157/.158，針對Windows、Mac與Linux平臺推送更新，內容重點在於修補多項高風險資安漏洞，其中一項GPU元件的安全缺陷CVE-2025-6558已被證實遭到攻擊者濫用，屬於零時差漏洞。Google呼籲用戶應盡速完成版本更新，以降低潛在風險。

根據Google官方公告，本次穩定版共修補6項安全漏洞，涵蓋V8引擎、ANGLE與GPU、WebRTC等核心元件。而CVE-2025-6558為高風險漏洞，與ANGLE（Almost Native Graphics Layer Engine）和GPU元件在處理未經驗證輸入時的驗證不足有關。Google威脅分析小組指出，已觀察到攻擊者鎖定該漏洞發動攻擊。雖然細節尚未完全公開，Google表示，相關技術資訊將待多數用戶完成更新後才會公布，以防止漏洞被進一步利用。

本次更新也修補V8 JavaScript引擎的整數溢位問題CVE-2025-7656，以及WebRTC元件的記憶體釋放後再被利用（Use After Free）漏洞CVE-2025-7657，這些弱點在特定情境下可能讓攻擊者誘使瀏覽器執行惡意程式碼，影響用戶資料與系統安全。

部分漏洞是由外部資安研究人員通報，部分則來自Google內部例行安全審查與自動化偵測工具，例如AddressSanitizer、MemorySanitizer與libFuzzer等。為防範更多攻擊事件，Google採取措施暫時限制部分漏洞資訊的公開範圍。除了待大多數用戶完成更新才公布技術細節，當發現第三方函式庫尚未同步修補，也會繼續保留資訊，避免外部專案遭到連帶攻擊。