CVE-2025-14765：Google Chrome中的释放后使用漏洞

严重性：高 类型：漏洞

CVE-2025-14765是Google Chrome 143.0.7499.147之前版本中WebGPU实现中识别出的一个释放后使用漏洞。WebGPU是一项为Web应用程序提供现代图形和计算能力的Web标准，它在低层级运行，可直接访问GPU资源。当浏览器错误地管理内存，释放了一个仍可访问的对象时，就会导致释放后使用条件，从而引发此漏洞。

攻击者可以通过构造一个恶意HTML页面来触发释放后使用，从而利用此缺陷，导致堆损坏。这种损坏可被用来在浏览器进程的上下文中执行任意代码，可能导致用户浏览会话被完全攻陷、数据被盗或进一步的系统利用。此漏洞不需要事先进行身份验证，但确实需要受害者访问恶意或被入侵的网站，这意味着需要用户交互。尽管尚未观察到公开的漏洞利用，但由于其潜在影响和易于利用性，Chromium安全团队已将此漏洞评为高严重性。该漏洞影响运行易受攻击的Chrome版本的所有平台，这些版本在全球（包括欧洲）广泛部署。目前尚未分配CVSS分数，但该漏洞的性质及其潜在后果值得紧急关注和修复。

潜在影响

对于欧洲组织而言，由于Google Chrome作为主要网络浏览器的广泛使用，此漏洞构成了重大风险。成功利用可能导致在浏览器上下文中未经授权的代码执行，使攻击者能够窃取敏感信息，如凭证、会话令牌或知识产权。它还可以作为在企业环境中进一步网络渗透或横向移动的立足点。金融、医疗、政府和关键基础设施等部门尤其脆弱，因为它们依赖于安全的网络通信，且其数据价值很高。需要用户交互（访问恶意页面）意味着网络钓鱼或路过式下载攻击可能是有效的攻击媒介。目前野外没有已知的漏洞利用，这为主动防御提供了机会窗口，但高严重性评级表明，如果不及时应用补丁，漏洞利用可能会变得广泛。此外，该漏洞的释放后使用性质意味着利用可能导致浏览器崩溃和拒绝服务，影响关键网络服务的可用性。

缓解建议

欧洲组织应立即将Google Chrome的所有实例更新到已修补此漏洞的143.0.7499.147或更高版本。应利用自动补丁管理系统确保在所有终端上快速部署。网络安全团队应监控异常的网络流量模式，并可能阻止访问可能托管利用此漏洞的恶意HTML内容的可疑或不信任网站。采用浏览器安全功能，如沙盒、严格的内容安全策略（CSP）和禁用不必要的WebGPU功能，可以减少攻击面。用户意识培训应强调访问不信任网站和点击未知链接的风险。应调整终端检测与响应（EDR）解决方案，以检测表明漏洞利用尝试的异常浏览器行为。对于高风险环境，考虑实施网络级Web过滤，并限制可能促进漏洞利用的浏览器扩展。最后，保持最新的威胁情报源，以了解任何针对此漏洞的新兴漏洞利用。

受影响国家

德国、法国、英国、荷兰、意大利、西班牙、瑞典、比利时、波兰

来源： CVE数据库 V5 发布时间： 2025年12月16日 星期二