Google傳出不慎洩露Chrome尚未修補的資安漏洞
漏洞概述
Google於2025年11月18日宣佈,其Chromium專案的程式碼庫中意外公開了尚未修補的資安漏洞概念驗證程式碼(PoC),此漏洞可能影響Chrome、Edge、Brave、Vivaldi及Arc等瀏覽器的眾多用戶。
攻擊方式與風險
該漏洞濫用了瀏覽器的Fetch API,其原本用途為在背景中載入影片與大型檔案。攻擊者可利用此機制建立連線,監控瀏覽器的使用行為,甚至將受害電腦作為代理伺服器,用以存取網站或發動拒絕服務攻擊。
相關安全更新與建議
- Google已發布Chrome安全更新,修補多項高風險漏洞,包括V8引擎的零時差(Zero-Day)漏洞與緩衝區溢位問題。
- 用戶應儘速更新至Chrome 138.0.7204.157或更高版本(Windows、macOS、Linux)以降低風險。
- 針對V8引擎的越界讀寫漏洞(CVE-2025-5419),Google已發布緊急修補,建議用戶立即安裝。
其他相關資訊
根據Chromium漏洞報告,部分漏洞涉及ANGLE Metal渲染器,可能導致記憶體損壞、系統崩潰與敏感資訊外洩。