谷歌发布Chrome关键更新,修复CVE-2025-6558漏洞
谷歌周二发布了针对其 Chrome 网络浏览器中六个安全问题的修复程序,其中一个问题据称已被广泛利用。
有问题的高严重性漏洞是CVE-2025-6558(CVSS 评分:8.8),它被描述为对浏览器的 ANGLE 和 GPU 组件中不受信任的输入进行错误验证。
根据NIST 国家漏洞数据库 (NVD) 对该漏洞的描述,“在 138.0.7204.157 之前的版本中,Google Chrome 中对 ANGLE 和 GPU 中不受信任的输入验证不足,导致远程攻击者能够通过精心设计的 HTML 页面执行沙盒逃逸。”
ANGLE 是“Almost Native Graphics Layer Engine”(几乎原生图形层引擎)的缩写,充当 Chrome 渲染引擎和设备专用图形驱动程序之间的转换层。该模块中的漏洞可让攻击者通过滥用浏览器通常隔离的低级 GPU 操作来逃离 Chrome 沙盒,这使其成为一种罕见但有效的深入系统访问途径。
对于大多数用户来说,像这样的沙盒逃逸意味着访问恶意网站就足以突破浏览器的安全屏障,并与底层系统进行交互。这在针对性攻击中尤其重要,因为仅仅打开一个网页就可能触发静默攻击,而无需任何下载或点击。
谷歌威胁分析小组 (TAG) 的 Clément Lecigne 和 Vlad Stolyarov 因在 2025 年 6 月 23 日发现并报告该零日漏洞而受到赞誉。
利用该漏洞进行攻击的具体性质尚未披露,但谷歌承认“CVE-2025-6558 漏洞已在野外存在”。话虽如此,TAG 的发现暗示了民族国家参与的可能性。
大约两周前,谷歌刚刚解决了另一个被积极利用的 Chrome 零日漏洞(CVE-2025-6554,CVSS 评分:8.1),该漏洞也是由 Lecigne 于 2025 年 6 月 25 日报告的。
自今年年初以来,谷歌已修复 Chrome 中总共五个零日漏洞,这些漏洞已被主动利用或以概念验证 (PoC) 的形式进行演示。这五个漏洞包括:CVE-2025-2783、CVE-2025-4664、CVE-2025-5419和CVE-2025-6554。
为防范潜在威胁,建议将 Chrome 浏览器更新至 138.0.7204.157/158 版本(适用于 Windows 和 Apple macOS),以及 138.0.7204.157 版本(适用于 Linux)。为确保安装最新更新,用户可以前往“更多”>“帮助”>“关于 Google Chrome”,然后选择“重新启动”。
网络安全
还建议其他基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera 和 Vivaldi)的用户在修复程序可用时应用它们。
此类问题通常属于更广泛的类别,例如 GPU 沙盒逃逸、着色器相关错误或 WebGL 漏洞。虽然它们并不总是引人注目,但它们往往会以连锁漏洞或定向攻击的形式再次出现。如果您关注 Chrome 安全更新,则需要留意图形驱动程序缺陷、权限边界绕过以及渲染路径中的内存损坏,因为它们通常预示着下一轮需要修补的错误。