Google于9月9日发布电脑版、安卓版Chrome 140更新,修补两项安全漏洞CVE-2025-10200、CVE-2025-10201,值得留意的是,CVE-2025-10200被评为重大漏洞,相当危险,用户应尽快套用更新。
这项重大层级漏洞出现在Serviceworker组件,为内存使用之后释放再度利用(Use After Free)的弱点,由安全研究员Looben Yang于8月22日通报,美国网络安全暨基础设施安全局(CISA)评估其CVSS风险值为8.8(满分10分),Google颁发4.3万美元奖励给Looben Yang。
而对于这项漏洞带来的影响,攻击者只要借由特定的HTML网页,就有机会从远程导致Chrome出现内存中断的现象,Google发布Windows版140.0.7339.127、140.0.7339.128,Linux版140.0.7339.127、macOS版140.0.7339.132、140.0.7339.133,以及安卓版140.0.7339.123,来修补这项漏洞。
本次Google也修补另一项高风险漏洞CVE-2025-10201,起因是Mojo组件不当实例产生,影响Linux、ChromeOS,以及安卓版的用户。攻击者同样能借由特定的HTML网页触发,从而绕过网站隔离机制。值得留意的是,虽然Google评估该漏洞为高风险层级,但CISA评估其风险值与重大漏洞CVE-2025-10200相同,为8.8分。
在Google修补上述漏洞后,多家采用Chromium为基础的浏览器也跟进。其中,最早处理漏洞的是Brave,他们在9月10日发布1.82.166版应对;9月12日,微软发布140.0.3485.66版Edge更新,修补CVE-2025-10200、CVE-2025-10201;同日Vivaldi发布电脑版、安卓版更新,修补CVE-2025-10200。
