谷歌浏览器的稳定版通道刚刚迎来了一次至关重要的更新,Windows 和 Mac 系统上的版本更新至 133.0.6943.126/.127,Linux 系统上的版本更新至 133.0.6943.126。此次更新将在未来几天到几周内逐步推送,修复了三个安全漏洞,其中包括两个高危漏洞。 在最为关键的修复内容中,有 CVE-2025-0999 漏洞,这是谷歌浏览器的 JavaScript 引擎 V8 中存在的一个高危堆缓冲区溢出漏洞。该漏洞由Seunghyun Lee(@0x10n)于 2 月 4 日报告,通过谷歌的漏洞奖励计划,他获得了高达 11000 美元的奖金。堆缓冲区溢出漏洞可能极其危险,攻击者有可能利用它来执行任意代码,进而控制用户的系统。迅速修复这一漏洞对于保护谷歌浏览器用户来说至关重要。 另一个高危漏洞 CVE-2025-1426 涉及 GPU 进程中的堆缓冲区溢出问题。该漏洞由 un3xploitable 和 GF 于 12 月 11 日发现,同样存在重大风险。虽然目前具体细节有限,但 GPU 漏洞可能会被攻击者利用来达成各种恶意目的,从信息泄露到导致系统不稳定等情况都有可能发生。 此次更新还修复了一个中危漏洞 CVE-2025-1006,这是网络组件中存在的一个 “释放后使用” 漏洞。该漏洞由来自帕洛阿尔托网络公司(Palo Alto Networks)的一个研究团队 —— 塔尔・凯伦(Tal Keren)、山姆・阿格拉纳特(Sam Agranat)、埃兰・罗姆(Eran Rom)、爱德华・博钦(Edouard Bochin)和亚当・哈西尔(Adam Hatsir)于 1 月 18 日报告,该团队获得了 4000 美元的奖金。“释放后使用” 漏洞可能会导致浏览器崩溃,在某些情况下,还可能被用于更严重的攻击。 为了防止这些漏洞被进一步利用,在一段时间内,关于这些漏洞的具体细节可能会有所保留。强烈建议用户在更新可用时尽快更新浏览器。要确保自己运行的是最新版本,只需打开谷歌浏览器,点击右上角的三个垂直点,然后依次选择 “帮助” 和 “关于谷歌浏览器”。谷歌浏览器会自动检查更新,如果有新版本可用,会提示你重新启动浏览器。不要拖延,今天就更新吧!
