谷歌日前发布了一项针对Chrome浏览器的安全更新,修复了六个漏洞,其中一个漏洞被攻击者积极利用以逃逸浏览器的沙箱防护。该漏洞被标识为CVE-2025-6558,具有8.8的高严重性评分,由谷歌的威胁分析小组在6月23日发现。
这一安全问题的描述为ANGLE和GPU中的不可信输入验证不足,影响到138.0.7204.157之前的Chrome版本。攻击者可以通过精心制作的HTML页面成功利用该漏洞来执行沙箱逃逸。ANGLE(Almost Native Graphics Layer Engine)是Chrome用于将OpenGL ES API调用转化为Direct3D、Metal、Vulkan和OpenGL的开源图形抽象层。由于ANGLE处理来自网站的WebGL命令,因此该组件的漏洞可能对安全产生重大影响。
该漏洞允许远程攻击者使用特制的HTML页面在浏览器的GPU进程中执行任意代码。谷歌尚未提供触发该问题的详细技术信息。谷歌在安全公告中表示:“在大多数用户更新补丁之前,漏洞详细信息和链接可能会被限制访问。”
鉴于CVE-2025-6558的高风险和被积极利用的状态,建议Chrome用户尽快更新至138.0.7204.157/.158版本,具体版本取决于操作系统。您可以通过导航至chrome://settings/help来完成更新检查,成功更新后需重启浏览器。
来源 来源