Google修補Chrome今年第8個零時差漏洞

一週前Google發布Chrome 143大改版，並修補JavaScript引擎V8漏洞CVE-2025-13630等13項資安弱點，如今該公司再度發布更新，修補目前尚未公布CVE編號，並且已遭到利用的零時差漏洞。

12月10日Google針對電腦與安卓裝置用戶，發布143.0.7499.109與143.0.7499.110版Chrome，總共修補3項資安漏洞，其中，於Chromium專案登記編號為466192044的高風險漏洞，該公司表示，他們已掌握在實際環境有嘗試利用的情況，此為今年Chrome第8個零時差漏洞。

罕見的是，這項漏洞Google僅透露為高風險層級，至於其他的資訊，像是CVE編號、漏洞的類型、受影響的元件，以及通報者的身分，他們並未透露，僅表示目前正在協調處理當中。

有資安新聞網站根據466192044於Chromium專案透露的內容，對此漏洞進行推測。Bleeping Computer指出，此漏洞疑似出現在Google開源程式庫LibANGLE，此為轉換OpenGL ES圖形呼叫，並傳送到其他API，而能讓圖形API執行效率更佳，或是讓OpenGL ES應用程式能在非原生支援的系統運作。

他們也根據Chromium臭蟲通報資訊，此零時差漏洞與記憶體緩衝區溢位有關，原因是在ANGLE的Metal渲染工具裡，出現記憶體緩衝區位置配置不當的情況，而可能引發記憶體中斷、當機、敏感資訊洩露，甚至執行任意程式碼。

回顧2025，Google總共修補8個Chrome零時差漏洞，前面7個是：CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554、CVE-2025-6558、CVE-2025-10585，以及CVE-2025-13223。不過有別於前面修補的漏洞，這次Google僅透露了風險層級，代表新漏洞的利用活動可能更加險峻，有待後續Google或其他資安業者透露進一步的資訊。