近日,谷歌针对其桌面版Chrome浏览器发布了两个新版本——136.0.7103.113与136.0.7103.114,此次更新的核心目的在于修补一个已被黑客实际利用的零日漏洞,编号为CVE-2025-4664。
谷歌官方将该漏洞的严重程度标记为“高风险”,但仅简要说明问题源于“Loader组件的执行策略存在缺陷”。然而,Solidlab安全团队的研究员slonser则提供了更为详尽的分析,他指出,Chrome在处理子资源请求时,会解析链接头部信息,黑客可借此机会,在头部信息中嵌入特定策略,从而窃取用户的敏感信息。
尽管CISA(网络安全和基础设施安全局)为该漏洞的风险评分定为4.3分,但鉴于已有黑客利用此漏洞发动攻击的事实,安全专家强烈建议用户尽快安装更新以消除隐患。
除了CVE-2025-4664漏洞外,本次更新还修复了另一个高风险漏洞,即存在于Mojo组件中的CVE-2025-4609。谷歌同样给予该漏洞“高风险”的评价,显示出此次更新对于提升浏览器安全性的重要性。
