谷歌发布 Chrome 更新,修复多个高危漏洞

2025-08-14 發表於 开源资讯

谷歌发布了最新版 Chrome 浏览器更新,修复多个高严重级别安全漏洞,这些漏洞可能允许攻击者在用户设备上执行任意代码。

此次更新适用于 Windows、macOS 和 Linux 平台的版本:[139.0.7258.127/.128 (Windows/macOS)] 和 [139.0.7258.127 (Linux)]。

三个高危漏洞:

  • CVE-2025-8879:libaom 库中的堆缓冲区溢出漏洞(用于视频编码/解码)。
  • CVE-2025-8880:V8 JavaScript 引擎中存在竞争条件漏洞(race condition),研究者 Seunghyun Lee 报告。
  • CVE-2025-8901:ANGLE (Almost Native Graphics Layer Engine) 中的越界写漏洞,涉及图形渲染层。

两个中等级别漏洞:

  • CVE-2025-8881:文件选择器(File Picker)组件中实现不当问题。
  • CVE-2025-8882:Aura 窗口系统中的 “use-after-free” 漏洞。

用户应立即更新 Chrome 浏览器。可通过菜单 → 设置 → 关于 Chrome,检查并安装最新版本,然后重启浏览器完成更新。

相關推薦

谷歌向发现 Chrome 高危漏洞的安全研究员奖励 25 万美元

2025-08-13

谷歌近日依据漏洞奖励计划(VRP)向一名安全研究员发放 25 万美元(约合 179.8 万元人民币)奖金,奖励其发现 Chrome 浏览器高危漏洞。 该研究员于 4 月 23 日报告了一个“沙盒逃逸”漏洞,编号为 CVE-2025-4609,存在于 Chrome 内

谷歌正寻求提高 C++ 内存安全

2022-06-01

谷歌 Chrome 安全团队称其一直在致力于改善 Chrome 浏览器的内存安全;近期,该团队正在研究使用 heap scanning 技术来提高 C++ 的内存安全。 虽然从内存安全方面出发,Rust 当下可能更受大众喜爱。但 Chrome 安全团队认为,尽管人们

AI 绘图工具 ComfyUI 存在多个高危漏洞

2025-05-28

网络安全通报中心今日发文,称 AI 绘图工具 ComfyUI 存在多个高危漏洞,包含任意文件读取、远程代码执行等多个历史高危漏洞(CVE-2024-10099、CVE-2024-21574、CVE-2024-21575、CVE-2024-21576、CVE-2024-21577)。 公告写道,攻击者可利用上述

Apache HTTP Server 多个漏洞风险通告 严重漏洞影响上亿个网站

2021-12-24

2-23 漏洞简述 2021年12月23日,360CERT监测发现Apache官方发布了安全通告 ,修复了多个漏洞,其中包含的漏洞编号有:CVE-2021-44224、CVE-2021-44790,漏洞等级:高危,漏洞评分:8.2。 Apache HTTP Server是Apache软件基金会的一个开放源

OpenSSL 发布 3.0.7 修复两个“高危”漏洞

2022-11-03

OpenSSL 已发布 3.0.7 修复两个高危漏洞:CVE-2022-3786 和 CVE-2022-3602。官方建议 OpenSSL 3.0.x 用户应升级到 OpenSSL 3.0.7,因为这两个漏洞影响 OpenSSL 3.0.0 至 3.0.6 版本,不影响 OpenSSL 1.1.1 和 1.0.2。 OpenSSL 团队表示,目前尚未发现利用

Ruby 3.1.3、3.0.5、2.1.7 发布,修复高危漏洞

2022-11-25

Ruby 3.1.3、3.0.5、2.1.7 发布了,这几个版本都只包含一个安全修复程序,修复了同一个漏洞: CVE-2021-33621:CGI 中的 HTTP 响应拆分 如果应用程序使用带有不受信任的用户输入的 cgi gem 生成 HTTP 响应,则攻击者可以利用它来注入

俄罗斯的 Android 设备无法获取 Chrome 更新 已被谷歌排除在世界之外

2022-05-17

据俄罗斯媒体 kommersant 报道,自 5 月 9 日谷歌发布 Android  Chrome 101 版本后,大量俄罗斯用户在  Google Play 应用商店和社交软件中发声投诉,称其  Android 设备无法通过 Google Play 商店更新 Chrome 浏览器和 Android System WebView

openLooKeng 开源社区 Apache Log4j2 高危安全漏洞居然还未修复,建议用户不要升级

2021-12-16

修复方案】 升级至最新组件:log4j-2.15.0,其中2.15.0的发布时间应该为2021-12-09 23:46的版本! ◎ 方案1 - 修改代码 针对ES connector 和Ranger plugin,更新代码,移除log4j的依赖。关联PR如下 : 备注:由于Ranger社区尚未修复log4j

开源大模型推理框架 vLLM 被曝高危远程代码执行漏洞(已修复)

2025-05-24

控制GPU服务器,窃取模型、算力或中断服务。vLLM团队已修复该漏洞并致谢腾讯朱雀实验室。 漏洞技术细节 vLLM 最初由加州大学伯克利分校 Sky Computing 实验室开发,现已成为社区驱动的开源项目,为 LLM 推理和服务提供快速易

谷歌研究:Linux 在修补漏洞方面比苹果、谷歌和微软做得更好

2022-02-21

来自谷歌安全研究团队 Project Zero 的研究表明,Linux 开发者在修复安全漏洞方面比其他任何人(包括谷歌)都要更加迅速。 从 2019 年到 2021 年,Project Zero 在标准的 90 天期限内共向供应商报告了 376 个问题。这些  bug 中的 351

Next.js 中间件曝高危漏洞 CVE-2025-29927,授权绕过风险波及全版本

2025-03-25

方案 立即升级至安全版本: Next.js 15.x → ≥15.2.3 (更新日志) Next.js 14.x → ≥14.2.25 (更新日志) 临时缓解措施:在 CDN/反向代理层过滤 x-middleware-subrequest 头(需注意 Nginx 配置需包含 proxy_set_header X-Middleware-Subr

Spring 框架存在高危 RCE 零日漏洞,请马上升级!

2022-03-31

RCE),使用 JDK9 及以上版本皆有可能受到影响。 正在紧急修复? 从 Spring 项目的 Git 提交记录来看,在漏洞消息疯传的同时, Spring 开发者似乎在紧急处理漏洞相关的代码,比如 3 月 29日的新提交:。 在这个敏感的时间点,该

84% 的代码库至少包含一个已知的开源漏洞

2023-02-25

应用安全公司 Synopsys 最新发布的 2023 年开源安全和风险分析 (Open Source Security and Risk Analysis,OSSRA) 报告指出,绝大多数代码库 (84%) 至少包含一个已知的开源漏洞,相较去年增加了近 4%。 2023 OSSRA 报告基于对并购交易中涉及

由于频发安全漏洞,谷歌限制 IO_uring 使用

2023-06-18

虽然 IO_uring 是近几年 Linux 内核的最大创新之一,有助于提供更高效和高性能的 I/O,但它也存在各种安全漏洞。由于持续的安全问题,该用于异步 I/O 的接口在 Google 产品中受到限制或被完全禁用。 Google 安全博客指出,Google 漏

熱門推薦