谷歌为其Chrome浏览器发布了一个关键安全更新，修复了六个漏洞。其中最令人担忧的是CVE-2025-6558，这是一个高危漏洞（CVSS评分：8.8），存在于Chrome的ANGLE和GPU组件中，并正在被积极利用。

这个Chrome漏洞是如何运作的？

根据国家漏洞数据库（NVD）的描述，该漏洞源于ANGLE和GPU模块中对不可信输入的验证不足。ANGLE（几乎原生图形层引擎）是Chrome中的一个关键层，用于将图形命令翻译为可在各种系统上运行，包括Direct3D、Vulkan、Metal和OpenGL。

通过创建一个恶意HTML页面，攻击者可以利用此漏洞逃逸Chrome的沙箱。沙箱是一个保护屏障，旨在将恶意代码锁定在浏览器内，防止其影响计算机的其他部分。

这个零日漏洞于2025年6月23日由谷歌威胁分析小组（TAG）的Clément Lecigne和Vlad Stolyarov发现，该团队以追踪定向网络攻击而闻名。谷歌在其官方发布中确认“意识到CVE-2025-6558的漏洞在野外存在利用。”

如何更新Chrome

鉴于CVE-2025-6558漏洞的严重性及其已被确认的利用，强烈建议用户立即更新Chrome。修补后的版本为Windows和macOS的138.0.7204.157/.158以及Linux的138.0.7204.157。

请按照以下步骤操作：

1. 打开Chrome。
2. 点击三点菜单（⋮）| 帮助 | 关于Google Chrome。
3. 如果有更新可用，点击重新启动以应用更新。

其他基于Chromium的浏览器如Microsoft Edge、Brave、Opera和Vivaldi也可能受到影响；用户应关注这些供应商的更新。

今年不是第一次出现Chrome零日漏洞

这是2025年发现和利用的第五个Chrome零日漏洞。今年早些时候，谷歌修补了：

• CVE-2025-2783，用于间谍活动的沙箱逃逸。
• CVE-2025-4664，用于账户劫持。
• CVE-2025-5419，一个V8内存损坏漏洞。
• CVE-2025-6554，另一个与V8相关的漏洞。

这些漏洞的快速出现突显了基于浏览器的攻击，特别是那些利用低级渲染系统的攻击，正变得越来越频繁和复杂。

修补了其他五个高风险Chrome漏洞

除了CVE-2025-6558，谷歌在此次Chrome更新中还解决了五个额外的漏洞。这些漏洞包括：

• CVE-2025-7656，Chrome JavaScript引擎V8中的整数溢出，由安全研究员Shaheen Fazim于6月17日报告。
• CVE-2025-7657，Chrome WebRTC组件中的一个使用后释放漏洞，由jakebiles于6月25日报告。
• 通过模糊测试、审计和自动化工具如AddressSanitizer和libFuzzer发现的其他三个内部安全修复。

谷歌未确认这五个漏洞是否正在被积极利用。