近日，Google发布了针对Chrome浏览器的紧急安全更新，修复了六个存在严重安全风险的漏洞，其中三项为高危漏洞，可能被攻击者利用执行任意代码，对用户数据和系统安全造成威胁。本次更新已在Windows、Mac和Linux平台同步推送，版本号分别为Windows/Mac 139.0.7258.127/.128，以及Linux 139.0.7258.127。

本次更新中，三项被列为高危的漏洞涉及视频处理、JavaScript引擎和图形渲染核心组件，这些都是Chrome运行的重要模块，一旦被利用，可能直接导致浏览器进程被劫持、执行恶意代码。

1. CVE-2025-8879：libaom中的堆缓冲区溢出

libaom是Chrome用于视频编解码（AV1格式）的核心库。该漏洞为典型的堆缓冲区溢出，攻击者可通过构造特定的多媒体数据，在写入超出分配内存范围的位置时覆盖关键数据，从而实现代码执行。

2.CVE-2025-8880：V8引擎中的竞争条件漏洞

V8是Chrome的JavaScript引擎。此漏洞由安全研究员Seunghyun Lee报告，属于多线程并发安全问题。当多个线程同时访问共享资源时，未妥善同步可能导致不可预测的执行路径，攻击者可以利用这种竞态条件改变程序行为，进而执行恶意指令。

3. CVE-2025-8901：ANGLE中的越界写入

ANGLE（Almost Native Graphics Layer Engine）是Chrome将OpenGL ES API调用转换为硬件支持API的重要组件。该漏洞可导致内存越界写入，从而被利用进行内存破坏和代码执行。

除上述高危漏洞外，Google还修复了两项中危漏洞：

CVE-2025-8881：File Picker实现不当

文件选择器组件实现不当可能被滥用，造成信息泄露或执行非预期操作。

CVE-2025-8882：Aura中的释放后使用（Use-After-Free）

Aura是Chrome的窗口管理系统。释放后使用漏洞意味着程序在释放内存后依然访问该内存，可能导致浏览器崩溃或被攻击者利用执行恶意代码。

这些漏洞涉及核心渲染与执行模块，若被攻击者利用，可能通过恶意网页、视频文件或脚本直接在用户系统中执行代码，风险极高。

建议措施：

1. 立即手动更新：虽然Google会分阶段自动推送更新，但为了降低暴露窗口，建议用户通过设置>关于Chrome手动检查并更新到最新版本。

2. 企业环境集中部署：系统管理员应尽快通过企业更新策略推送最新版，避免员工设备停留在存在漏洞的版本。

3. 强化浏览器安全策略：启用站点隔离（Site Isolation）、禁用不必要插件，减少攻击面。

4. 关注安全公告：及时跟进Google及安全社区的漏洞公告，保持安全补丁更新的连续性。

资讯及配图来源：cybersecuritynews

转载请注明出处和本文链接

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！