近日,谷歌針對(duì)其桌面版Chrome瀏覽器發(fā)布了兩個(gè)新版本——136.0.7103.113與136.0.7103.114,此次更新的核心目的在于修補(bǔ)一個(gè)已被黑客實(shí)際利用的零日漏洞,編號(hào)為CVE-2025-4664。
谷歌官方將該漏洞的嚴(yán)重程度標(biāo)記為“高風(fēng)險(xiǎn)”,但僅簡(jiǎn)要說(shuō)明問(wèn)題源于“Loader組件的執(zhí)行策略存在缺陷”。然而,Solidlab安全團(tuán)隊(duì)的研究員slonser則提供了更為詳盡的分析,他指出,Chrome在處理子資源請(qǐng)求時(shí),會(huì)解析鏈接頭部信息,黑客可借此機(jī)會(huì),在頭部信息中嵌入特定策略,從而竊取用戶(hù)的敏感信息。
盡管CISA(網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局)為該漏洞的風(fēng)險(xiǎn)評(píng)分定為4.3分,但鑒于已有黑客利用此漏洞發(fā)動(dòng)攻擊的事實(shí),安全專(zhuān)家強(qiáng)烈建議用戶(hù)盡快安裝更新以消除隱患。
除了CVE-2025-4664漏洞外,本次更新還修復(fù)了另一個(gè)高風(fēng)險(xiǎn)漏洞,即存在于Mojo組件中的CVE-2025-4609。谷歌同樣給予該漏洞“高風(fēng)險(xiǎn)”的評(píng)價(jià),顯示出此次更新對(duì)于提升瀏覽器安全性的重要性。
