Chrome紧急修复 WebGPU 和 V8引擎中的三个高危漏洞

第一个高危漏洞CVE-2025-12725涉及WebGPU中的越界写问题，由匿名研究人员于2025年9月9日报送。该漏洞源于通过WebGPU API处理GPU内存操作时未正确检查边界。WebGPU是为浏览器中高性能图形渲染和机器学习工作负载设计的现代图形接口。该漏洞如被利用，可导致远程攻击者向已分配内存区域外写入数据，可能导致浏览器崩溃或在GPU进程中执行任意代码。鉴于WebGPU对系统资源的底层访问特性，此类漏洞在与沙箱逃逸漏洞组合利用时，对独立显卡和集成显卡环境均构成重大威胁。

第二个高危漏洞CVE-2025-12725由安全研究员Alesandro Ortiz于2025年9月25日发现并报送。该漏洞与用于Chrome用户界面渲染和窗口管理的Views组件的实现缺陷有关。对窗口组件或UI对象引用的不安全处理，可能使恶意网页内容或扩展程序触发内存损坏，或越权访问敏感对象。

第三个高危漏洞CVE-2025-12727影响Chrome的JavaScript和WebAssembly引擎V8。该漏洞由研究员"303f06e3"于2025年10月23日报送，其根源在于V8引擎执行层内部内存处理的实现缺陷。V8漏洞尤其危险的原因在于，攻击者通常可通过构造恶意JavaScript载荷操纵引擎的即时编译过程，实现远程代码执行。尽管谷歌尚未公开技术细节，但推测该漏洞与类型混淆或内存管理不当有关，而这它们常常是针对 Chrome 用户 0day 攻击中所用的常见攻击向量。历史上V8漏洞在补丁全面部署前一直是威胁行动者的重点利用目标。

除了这三个高危漏洞外，谷歌还修复了Chrome地址栏组件中的两个中危漏洞CVE-2025-12728（Hafiizh于2025年10月16日报送）和CVE-2025-12729（Khalil Zhani于2025年10月23日报送），它们是“地址栏的实现缺陷”。虽然谷歌未说明具体攻击方式，但此类漏洞可导致数据泄露或搜索建议欺骗，从而引发网络钓鱼或用户界面操纵攻击。

谷歌建议所有用户立即通过“设置→帮助→关于Google Chrome”步骤进行更新，自动升级至最新安全版本142.0.7444.134/.135。