WebXR Flaw Hits 4 Billion Chromium Users, Update Your Browser Now

一家网络安全初创公司AISLE在Chrome、Edge及其他基于Chromium内核浏览器的WebXR组件中发现了一个中危严重性漏洞。超过40亿台设备面临风险。请立即更新你的浏览器。

一个影响全球网络的严重安全漏洞

近期在构成全球大部分网络基础的浏览器底层代码中发现了一个严重的安全漏洞，导致超过40亿台设备面临数据泄露的风险。

自主安全专家AISLE发现了此漏洞，并将其评定为中危严重性（4.3分）。它影响所有基于Chromium代码库构建的主要浏览器，包括Google Chrome、Microsoft Edge、Brave和Opera。

问题出在WebXR上，这是一个允许网站在浏览器中直接运行虚拟现实（VR）和增强现实（AR）体验的工具。AISLE的自主分析器于2025年10月发现了该漏洞，证实其已在代码中隐藏了七个月。

这个技术故障非常细微：代码在进行3D变换时未能正确处理一小段数据。这导致浏览器在后台意外地额外读取了64字节的相邻内存。

博客作者Stanislav Fort解释说，泄露的值“暴露了附近的堆内存，包括指针数据”，攻击者可以利用这些数据绕过安全措施。然而，攻击者需要用户与特定的恶意页面互动（例如点击以启动VR会话）才能触发数据泄露。

鉴于基于Chromium的浏览器占据了全球市场份额的70%以上，仅Google Chrome就在超过30亿台设备上运行，潜在的受影响面非常巨大。几乎每台Windows笔记本电脑、Android手机以及无数其他设备都存在漏洞。

值得庆幸的是，Google行动迅速。在AISLE于2025年10月15日负责任地披露该问题后，Google“在24小时内就推送了修复程序”。Chrome的稳定版本在短短13天后，即2025年10月28日就得到了更新，这反映了他们快速的安全应对方法。

该漏洞（CVE-2025-12443）现已被修补，但你必须立即更新浏览器以保护敏感信息。这包括更新：

这次WebXR漏洞提醒我们，像VR和AR这样的新技术会创造出容易出错的复杂领域。为了保护你的数据，最简单也是最关键的步骤是：立即检查你的浏览器设置，并确保自动更新功能已开启。