Google发布Chrome浏览器稳定版138.0.7204.157/.158,针对Windows、Mac与Linux平台推送更新,内容重点在于修补多项高风险安全漏洞,其中一项GPU组件的安全缺陷CVE-2025-6558已被证实遭到攻击者滥用,属于零时差漏洞。Google呼吁用户应尽快完成版本更新,以降低潜在风险。
根据Google官方公告,本次稳定版共修补6项安全漏洞,涵盖V8引擎、ANGLE与GPU、WebRTC等核心组件。而CVE-2025-6558为高风险漏洞,与ANGLE(Almost Native Graphics Layer Engine)和GPU组件在处理未经验证输入时的验证不足有关。Google威胁分析小组指出,已观察到攻击者锁定该漏洞发动攻击。虽然细节尚未完全公开,Google表示,相关技术资讯将待多数用户完成更新后才会公布,以防止漏洞被进一步利用。
本次更新也修补V8 JavaScript引擎的整数溢出问题CVE-2025-7656,以及WebRTC组件的内存释放后再被利用(Use After Free)漏洞CVE-2025-7657,这些弱点在特定场景下可能让攻击者诱使浏览器执行恶意程序代码,影响用户数据与系统安全。
部分漏洞是由外部安全研究人员通报,部分则来自Google内部例行安全审查与自动化侦测工具,例如AddressSanitizer、MemorySanitizer与libFuzzer等。为防范更多攻击事件,Google采取措施暂时限制部分漏洞资讯的公开范围。除了待大多数用户完成更新才公布技术细节,当发现第三方函数库尚未同步修补,也会继续保留资讯,避免外部项目遭到连带攻击。
