【 資安警訊 】- Google 修復了第 八 個在 2025 年遭受攻擊的 Chrome 零日漏洞
發布編號:OIS-CTI-2025-12-003
情資來源:Bleepingcomputer
事件類型:漏洞警訊公告
內容說明:
Google 發布了緊急更新,修復了另一個已被利用的 Chrome 零日漏洞,這是自今年年初以來修復的第八個此類安全漏洞。
圖片來源:Bleepingcomputer
Google 在周三發布的安全公告中表示:“Google已經意識到 466192044 漏洞在實際環境中存在。”
該公司現已修復穩定桌面頻道用戶的這個高風險漏洞,新版本已在全球推出,適用於 Windows (143.0.7499.109)、macOS (143.0.7499.110) 和 Linux 用戶 (143.0.7499.109)。
Google 表示,雖然安全補丁可能需要幾天或幾週的時間才能推送給所有用戶,但BleepingComputer 今天早些時候檢查更新時,該補丁已立即可用。
儘管 Google 沒有透露有關此零日漏洞的任何其他細節,包括用於追蹤漏洞的 CVE ID,並表示仍在「協調中」。
「在大多數用戶都獲得修復程序之前,我們可能會限制對錯誤詳情和連結的存取。如果錯誤存在於其他項目同樣依賴但尚未修復的第三方庫中,我們也將繼續保留這些限制,」聲明中指出。
然而,根據 Chromium 漏洞 ID,該缺陷是在 Google 的開源 LibANGLE 庫中發現的,該庫將 OpenGL ES 圖形呼叫轉換為其他 API,例如 Direct3D、Vulkan 或 Metal,從而使 OpenGL ES 應用程式能夠在原生不支援 OpenGL ES 或替代圖形 API 提供更好效能的系統上運行。
根據 Chromium 漏洞報告,該零日漏洞是 ANGLE 的 Metal 渲染器中由於緩衝區大小不當而導致的緩衝區溢位漏洞,可能導致記憶體損壞、崩潰、敏感資訊外洩和任意程式碼執行。
自年初以來,Google 已經修復了其他七個被攻擊者利用的零日漏洞。在 11 月、9 月和 7 月,Google 修復了兩個正在被積極利用的零日漏洞(CVE-2025-13223、CVE-2025-10585 和CVE-2025-6558),這些漏洞是由 Google 威脅分析小組(TAG)的研究人員報告的 Google。
5 月,它發布了額外的安全性更新,以解決允許威脅行為者劫持帳戶的零日漏洞
( CVE-2025-4664 );6 月,它修復了 V8 JavaScript 引擎中的另一個漏洞 ( CVE-2025-5419 ),該漏洞也是由 Google TAG 發現的。
影響平台:
Google Chrome 瀏覽器
建議措施:
Google 建議並使用最新 Chrome 的安全性修補程式等級版本。
Windows (143.0.7499.109)
macOS (143.0.7499.110)
Linux 用戶 (143.0.7499.109)
參考連結 :
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html