本周,Google针对Chrome浏览器发布了一次紧急更新,修复了一个高风险级别的零时差漏洞(CVE-2025-4664)。更令人担忧的是,该漏洞已被证实用于实际攻击行动。用户应尽快更新至最新版本以确保系统安全。
紧急更新与官方警告
5月14日,Google发布了适用于电脑版Chrome的更新版本 136.0.7103.113 和 136.0.7103.114,专门用于修补零时差漏洞 CVE-2025-4664。仅仅一天后,美国网络安全暨基础设施安全局(CISA)便将该漏洞列入“已遭利用的漏洞列表”(KEV),并要求所有联邦机构在 6月5日之前完成修补。这一迅速反应表明了该漏洞的严重性。
根据Google的描述,此漏洞源于 Loader元件的政策执行不足,并被评估为高风险级别。然而,Google并未详细说明漏洞的具体机制。对此,独立资安研究员 slonser(隶属于Solidlab团队)进一步揭示了问题的根源:在Chrome请求子资源(subresource)的过程中,浏览器会解析链接的标头信息。如果攻击者在标头中设置了特定的参考策略,就可能通过不安全的URI截取完整的查询参数,从而导致敏感数据泄露。
研究人员还指出,这种攻击方式尤其危险,因为它可能发生在OAuth身份验证流程中。攻击者可以利用该漏洞劫持用户的账号,从而实施进一步的恶意行为。
漏洞的风险评估与现实威胁
尽管CISA对该漏洞的风险评分仅为 4.3分(满分10分),但由于已有实际攻击案例出现,其潜在威胁不容忽视。即使评分较低,漏洞的实际危害往往取决于攻击者的利用方式和场景。因此,用户不应因评分而掉以轻心,应尽快安装更新以避免潜在的安全风险。
其他修复内容
此次更新共修复了 4项漏洞,但Google仅详细提及其中两项:
- CVE-2025-4664(Loader元件漏洞)
如上所述,这是本次更新的重点修复内容,且已被证实用于实际攻击。 - CVE-2025-4609(Mojo元件漏洞)
该漏洞由研究员 Micky 于4月22日报告,存在于Mojo元件中。由于在某些情况下可能出现处理不当的现象,Google将其评估为高风险级别。
至于另外两项未公开提及的漏洞,Google并未提供具体信息,可能是出于安全考虑,避免给潜在攻击者提供可乘之机。
用户如何应对?
为了保护您的设备免受攻击,请立即采取以下措施:
- 检查并更新Chrome浏览器
打开Chrome浏览器,点击右上角的三点菜单,选择 帮助 > 关于Google Chrome,系统会自动检查并提示安装最新版本。 - 保持警惕,避免点击可疑链接
尤其是在涉及身份验证或敏感操作时,务必确认网站的真实性和安全性。 - 启用多因素认证(MFA)
对于重要账户(如电子邮件、银行账户等),建议启用多因素认证,以降低账号被劫持的风险。
评论