Google修复Chrome远程代码执行高危漏洞

谷歌已为其Chrome浏览器发布紧急安全更新，修复了一个严重漏洞，攻击者仅通过诱使用户访问恶意网站即可控制系统。

受影响版本包括Windows和Mac版早于141.0.7390.107/.108，以及Linux版早于141.0.7390.107的Chrome。

香港计算机紧急应变小组表示：“远程攻击者可利用此漏洞在目标系统上触发远程代码执行。”

Chrome安全浏览漏洞详情

该漏洞（CVE-2025-11756）影响Chrome的安全浏览功能——这是保护用户免受网络钓鱼站点和恶意软件下载侵害的关键防御层。

该漏洞由研究人员于2025年9月发现并报告给谷歌。截至发布时，谷歌尚未公布此漏洞的详细技术细节。

由于安全浏览功能以提升的权限运行，成功利用该漏洞可绕过Chrome的沙盒保护，可能获得对底层操作系统的完全访问权限。

该问题源于Chrome安全浏览进程中的释放后使用内存错误（归类为CWE-416）。此类漏洞在程序继续引用已释放内存时发生，为攻击者操纵内存内容和注入恶意代码创造了机会。

利用此漏洞可使远程攻击者在受害者设备上执行任意代码——可能安装恶意软件、窃取数据或劫持浏览器会话。

利用此漏洞仅需用户访问受损或恶意网页，无需其他交互，类似于其他零点击攻击。

根据其标准披露政策，谷歌将在大多数用户收到补丁前保留漏洞的完整技术细节。这种分阶段披露有助于防止威胁行为者在广大用户仍处于未受保护状态时开发攻击程序。

虽然谷歌的补丁解决了即时漏洞，但企业应采取额外措施强化环境并防范未来类似攻击，包括：

这些措施共同构建了分层防御，最大程度减少浏览器漏洞的影响并增强整体网络弹性。

此漏洞凸显了浏览器安全日益增长的复杂性以及防御内存相关漏洞的持续挑战。

即使Chrome具有强大的沙盒化和隔离机制，细微的编码错误仍可能成为强大的攻击载体——证明即使安全浏览组件也无法避免被利用。

随着浏览器演变为支持扩展、Web API和云集成的完整应用平台，其攻击面持续扩大。这种复杂性使得传统测试和沙盒化单独效果有限，强调需要持续改进内存安全、DevSecOps实践和主动漏洞研究。