立即更新Chrome：谷歌修复影响数十亿用户的13个安全漏洞

谷歌已为其Chrome浏览器发布更新，包含了13个安全修复程序，其中4个被归类为高危漏洞。其中一个漏洞存在于Chrome的“数字凭据”功能中——该工具允许用户从数字钱包中分享经过验证的信息给网站，以便在不同设备上证明身份。

Chrome是目前世界上最流行的浏览器，估计拥有34亿用户。如此庞大的规模意味着，当Chrome存在安全漏洞时，数十亿用户在更新之前都可能面临潜在威胁。

这就是为什么及时安装这些补丁至关重要。未打补丁意味着即使在浏览网页时也可能面临风险，攻击者常常在大多数用户有机会更新之前就利用这类漏洞。始终允许浏览器自动更新，并且不要延迟重启浏览器，因为更新通常正是为了修复此类风险。

如何更新Chrome

最新版本号对于Windows和macOS是143.0.7499.40/.41，对于Linux是143.0.7499.40。因此，如果你的Chrome版本是143.0.7499.40或更高，它就已受到保护，免受这些漏洞的影响。

最简单的更新方式是允许Chrome自动更新，但如果你从不关闭浏览器或者出现问题（例如某个扩展程序阻止你更新浏览器），你可能会落后于最新版本。

要手动更新，请点击“更多”菜单（三个点），然后转到设置 > 关于Chrome。如果有可用更新，Chrome将开始下载。重启Chrome以完成更新，你就能受到保护，免受这些漏洞的威胁。

你也可以在我们的指南中找到关于如何为每个操作系统更新Chrome的逐步说明。

技术细节

其中一个漏洞在“数字凭据”功能中发现，编号为CVE-2025-13633。与往常一样，谷歌在大多数用户更新之前会保持细节的简要。描述如下：

在143.0.7499.41版本之前的Google Chrome中，数字凭据的“释放后使用”漏洞，允许已入侵渲染器进程的远程攻击者通过精心制作的HTML页面可能利用堆损坏。

这听起来很复杂，让我们来分解一下。

“释放后使用” 是一种特定类型的软件漏洞，即程序在内存位置已被释放后仍试图访问它。这可能导致崩溃，或者在某些情况下，让攻击者运行他们自己的代码。

渲染器进程是现代浏览器（如Chrome）中将HTML、CSS和JavaScript转换为你在标签页中看到的可见网页的部分。出于安全考虑，它是沙盒化的，与浏览器管理标签页、URL和网络请求的主要“浏览器进程”是分离的。因此，对于HTML页面而言，这本质上是浏览器的网页显示引擎。

堆是程序可用的一块内存区域。程序可以请求在堆内分配内存块供其使用。为了分配某个大小的内存块，程序通过调用堆分配操作来发出显式请求。

“已入侵渲染器的远程攻击者”意味着攻击者需要先获得一个立足点（例如通过恶意浏览器扩展），然后诱使你访问包含特制HTML代码的网站。

因此，我的猜测是，此漏洞可能被恶意扩展程序滥用以窃取通过数字凭据处理的信息。攻击者可能访问通常需要通行密钥的信息，使其成为试图窃取敏感信息者的诱人目标。

其中一些修复也适用于其他基于Chromium的浏览器，因此，如果你使用Brave、Edge或Opera等浏览器，也应该留意那些浏览器的更新。