WebXR漏洞危机：40亿设备面临风险

一个严重的网络安全漏洞在世界主要网页浏览器的底层代码中被发现，这使超过40亿台设备面临数据泄露的风险。

自主网络安全专家AISLE发现了这一缺陷，并将其评级为中危（4.3分）。它影响所有基于Chromium代码库构建的主流浏览器，包括谷歌Chrome、微软Edge、Brave和Opera。

漏洞根源：WebXR组件

问题的根源在于WebXR。这是一个允许网站在你的浏览器中直接运行虚拟现实和增强现实体验的工具。AISLE的自主分析器在2025年10月发现了这个漏洞，并确认它已在代码中隐藏了七个月。

技术故障非常微妙：代码在3D转换过程中未能正确处理一小段数据。这导致浏览器在后台意外读取了额外的64字节相邻内存。

博客作者斯坦尼斯拉夫·福特解释道，泄露的值“暴露了附近的堆内存，包括指针数据”，攻击者可以利用这些数据来绕过安全措施。不过，攻击者需要用户与特定的恶意页面（例如点击启动VR会话）进行交互才能触发数据泄露。

谷歌的快速响应

鉴于基于Chromium的浏览器占全球市场份额的70%以上，其中仅谷歌Chrome就在超过30亿台设备上运行，因此潜在影响是巨大的。几乎每一台Windows笔记本电脑、安卓手机以及无数其他设备都曾面临风险。

值得庆幸的是，谷歌行动迅速。在AISLE于2025年10月15日负责任地披露该问题后，谷歌“在24小时内就推送了修复程序”。Chrome的稳定版本在仅仅13天后的2025年10月28日就完成了更新，这反映了他们快速的安全应对策略。

用户必须采取的行动

该漏洞已被修复，但你必须立即更新你的浏览器以保护敏感信息。这包括更新：

• Chrome（至版本142.0.7444.59或更高）
• 微软Edge、Brave、Opera以及所有其他基于Chromium的浏览器。

这个WebXR漏洞提醒我们，像VR和AR这样的新技术会创造出复杂的错误滋生地。为了保护你的数据，最简单也是最重要的行动是：立即检查你的浏览器设置，并确保自动更新功能已开启。