聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
谷歌紧急修复了位于 Chrome 中的一个已遭利用 0day 漏洞。该漏洞尚未分配 CVE 编号,是谷歌今年修复的第八个 0day 漏洞。
谷歌在当地时间本周三发布的一份安全公告中提到,“谷歌在野发现 466192044 的一个利用”。谷歌已在 Stable Desktop 频道修复了该高危漏洞。新版本Windows (143.0.7499.109)、macOS (143.0.7499.110) 和 Linux (143.0.7499.109) 已在全球推出。
谷歌虽然提到用户需要数天或数周的时间才会收到补丁,但本文作者查看后发现这些补丁已发布。如用户选择不通过人工更新,则可让 Chrome 浏览器自动查看更新并在下次启动时安装。
尽管谷歌并未分享该漏洞的其它详情以及CVE 编号,但表示该漏洞“仍在协同过程”中。谷歌提到,“在大部分用户完成更新前,将不会发布漏洞详情和链接。如果该漏洞存在于其它项目依赖的第三方库中但尚未修复,则我们仍将限制该访问权限。”
不过,从 Chromium bug 编号来看,该漏洞是从谷歌开源库 LibANGLE 中发现的。该库将 OpenGL ES 图形调用转换为其它 API 如 Direct3D、Vulkan 或 Metal,并赋能 OpenGL ES 应用在非原生支持它或替代图形 API 提供更高性能的系统上运行。
从 Chromium 的漏洞报告中可了解到,该0day漏洞是位于 ANGLE Metal 渲染器中因缓冲区大小设置不当引发的缓冲区溢出漏洞,可导致内存损坏、崩溃、敏感信息泄露和任意代码执行等后果。
自今年开始,谷歌已修复7个已遭利用的 0day 漏洞,包括 CVE-2025-13223、CVE-2025-10585、CVE-2025-6558、CVE-2025-6554、CVE-2025-4664、CVE-2025-5419和CVE-2025-2783。
开源卫士试用地址:https://oss.qianxin.com/#/login
代码卫士试用地址:https://sast.qianxin.com/#/login
推荐阅读
谷歌紧急修复已遭利用的Chrome V8 0day 漏洞
谷歌紧急修复已遭利用的 Chrome 0day
谷歌紧急修复已遭利用的 Chrome 0day漏洞
谷歌悄悄紧急修复已遭利用的 Chrome 0day
谷歌修复安卓遭活跃利用的 FreeType 0day漏洞
原文链接
https://www.bleepingcomputer.com/news/security/google-fixes-eighth-chrome-zero-day-exploited-in-attacks-in-2025/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
