Google修補Chrome 140重大漏洞

Google於9月9日發布電腦版、安卓版Chrome 140更新，修補兩項資安漏洞CVE-2025-10200、CVE-2025-10201，值得留意的是，CVE-2025-10200被評為重大漏洞，相當危險，用戶應儘速套用更新。

這項重大層級漏洞出現在Serviceworker元件，為記憶體使用之後釋放再度利用（Use After Free）的弱點，由資安研究員Looben Yang於8月22日通報，美國網路安全暨基礎設施安全局（CISA）評估其CVSS風險值為8.8（滿分10分），Google頒發4.3萬美元獎勵給Looben Yang。

而對於這項漏洞帶來的影響，攻擊者只要藉由特製的HTML網頁，就有機會從遠端導致Chrome出現記憶體中斷的現象，Google發布Windows版140.0.7339.127、140.0.7339.128，Linux版140.0.7339.127、macOS版140.0.7339.132、140.0.7339.133，以及安卓版140.0.7339.123，來修補這項漏洞。

本次Google也修補另一項高風險漏洞CVE-2025-10201，起因是Mojo元件不當實作產生，影響Linux、ChromeOS，以及安卓版的用戶。攻擊者同樣能藉由特製的HTML網頁觸發，從而繞過網站隔離機制。值得留意的是，雖然Google評估該漏洞為高風險層級，但CISA評估其風險值與重大漏洞CVE-2025-10200相同，為8.8分。

在Google修補上述漏洞後，多家採用Chromium為基礎的瀏覽器也跟進。其中，最早處理漏洞的是Brave，他們在9月10日發布1.82.166版因應；9月12日，微軟發布140.0.3485.66版Edge更新，修補CVE-2025-10200、CVE-2025-10201；同日Vivaldi發布電腦版、安卓版更新，修補CVE-2025-10200。