CVE-2025-12438 - Chrome Ozone组件释放后重用漏洞
概述
CVE-2025-12438是Google Chrome浏览器中Ozone组件的一个释放后重用(Use-After-Free)漏洞,CVSS 3.1评分为8.8分,属于高危漏洞。
漏洞描述
在Linux和ChromeOS平台上,Google Chrome 142.0.7444.59之前版本中的Ozone组件存在释放后重用漏洞。远程攻击者可以通过特制的HTML页面潜在利用对象损坏。Chromium安全团队将该漏洞评定为中等严重级别。
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Chrome | 受影响 | |
| 1 | Microsoft | edge_chromium | 受影响 |
总计受影响厂商:2 | 产品:2
CVSS评分
| 分数 | 版本 | 严重级别 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高危 | 2.8 | 5.9 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 将Google Chrome更新到最新版本以修复此释放后重用漏洞
- 更新Google Chrome至版本142.0.7444.59或更高版本
- 在供应商发布安全补丁后立即应用
- 限制对不可信HTML内容的访问
参考链接
| URL | 资源 |
|---|---|
| https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html | Chrome发布说明 |
CWE分类
CWE-416: 释放后重用
漏洞时间线
CVE修改记录 - 由134c704f-9b21-4f2e-91b3-4a467353bcc0于2025年11月10日修改
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
新CVE接收 - 由chrome-cve-admin@google.com于2025年11月10日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Use after free in Ozone in Google Chrome on Linux and ChromeOS prior to 142.0.7444.59 allowed a remote attacker to potentially exploit object corruption via a crafted HTML page. (Chromium security severity: Medium) | |
| 添加 | CWE | CWE-416 | |
| 添加 | 参考链接 | https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html |
漏洞评分详情
CVSS 3.1
基础CVSS分数:8.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 作用范围:不变
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高