摘要：最新补丁将 Chrome 稳定版升级至 Windows 和 Mac 版本 140.0.7339.207/208，Linux 版本升级至 140.0.7339.207。此更新将在未来几天或几周内自动分发，但用户可以手动触发更新，以确保及时获得保护。

谷歌已为其 Chrome 网络浏览器发布了紧急安全更新，以解决三个高严重性漏洞，这些漏洞可能允许攻击者访问敏感信息或导致系统崩溃。

该公司建议用户立即更新浏览器，以减轻这些缺陷带来的潜在风险。

最新补丁将 Chrome 稳定版升级至 Windows 和 Mac 版本 140.0.7339.207/208，Linux 版本升级至 140.0.7339.207。此更新将在未来几天或几周内自动分发，但用户可以手动触发更新，以确保及时获得保护。

发现的所有三个高严重性漏洞都存在于 V8JavaScript 和 WebAssembly 引擎中，这是 Chrome 负责执行程序代码的核心组件。

第一个漏洞编号为 CVE-2025-10890，是一个侧信道信息泄露漏洞。此类漏洞可能允许远程攻击者诱骗用户访问恶意网站，从而读取浏览器内存中的敏感数据，从而绕过旨在隔离信息的安全措施。外部安全研究员 Mate Marjanović 报告了此漏洞。

另外两个漏洞 CVE-2025-10891 和 CVE-2025-10892 均被描述为 V8 引擎内的整数溢出。

这些漏洞是由 Google 的 Big Sleep 研究团队内部发现的。整数溢出是一种常见的软件漏洞，当数值过大，超出分配给它的内存空间时，就会发生溢出，导致数值“回绕”，从而引发意外行为。

在浏览器环境中，攻击者通常可以利用此类缺陷通过破坏渲染器进程来导致拒绝服务情况或在受影响的系统上执行任意代码。

成功利用这些漏洞通常需要攻击者引诱受害者访问特制的恶意网页。

对于 CVE-2025-10890，页面上的恶意代码可能触发侧信道漏洞，允许攻击者推断来自其他网站或用户机器上运行的进程的数据。

这两个整数溢出漏洞一旦被利用，可能会导致浏览器突然崩溃。虽然谷歌的公告并未证实这一点，但整数溢出漏洞有时可以与其他漏洞组合使用，从而完全控制受感染的系统，构成严重威胁。

根据其标准安全政策，谷歌目前正在限制对这些漏洞的技术细节和概念验证漏洞的访问。

此措施旨在为大多数用户提供充足的时间安装安全补丁，以防止大规模攻击。一旦更新广泛部署，这些限制将被解除。

谷歌强烈建议所有 Chrome 用户确保其浏览器更新到最新版本，以防范潜在的攻击。

要检查并安装更新，用户可以导航到 Chrome 菜单，选择“帮助”，然后点击“关于 Google Chrome”。浏览器将自动扫描最新版本，并提示用户重新启动以完成安装。

谷歌指出，其许多安全漏洞都是使用 AddressSanitizer、MemorySanitizer 和各种模糊测试库等高级测试工具检测到的，这些工具有助于在漏洞进入稳定渠道之前识别并修复漏洞。

来源：会杀毒的单反狗