Chrome 150 一口氣補 7 個漏洞 三個重大 UAF 問題要重開瀏覽器先搞掂
Tech News

Chrome 150 一口氣補 7 個漏洞 三個重大 UAF 問題要重開瀏覽器先搞掂

圖片:via iThome — https://www.ithome.com.tw/news/177374
TechLab 編輯部(譯)·

Windows、Mac、Linux 同 Android 已陸續收到修正版

Google 啱啱為 Chrome 150 推出另一輪保安更新,今次一共修補 7 個漏洞,當中三個列作重大級別,牽涉 CameraCapture、GPU 同 Network 元件。iThome 報道提到,Chrome 150 喺 6 月底推出後已經兩度修補,而今次更新同上一輪只係相隔兩日。密密出修正版睇落幾嚇人,但現階段 Google 冇話呢批漏洞已遭人實際利用,所以唔應該當成零日攻擊新聞炒作。

三個重大漏洞其實有咩風險?

三個問題分別登記為 CVE-2026-15899、CVE-2026-15900 同 CVE-2026-15901,全部屬於 use-after-free,通常簡稱 UAF。軟件本應棄用一段記憶體後,程式某部分仍然嘗試存取嗰段位置,結果可能引致瀏覽器崩潰,嚴重時亦可能俾攻擊者操控程式行為。不過 Google 暫時限制漏洞細節,官方公告亦冇交代可行攻擊流程,所以而家唔適合自行推演「開一個網頁就會中招」之類情境。

CameraCapture 負責處理鏡頭擷取相關工作,GPU 元件就同圖像加速有關,Network 就負責瀏覽器連線相關工作。呢三個都係 Chrome 嘅重要元件,所以相關漏洞值得盡快修補。不過,元件名稱只係指出漏洞所在,唔代表網站一用鏡頭、播放影片或者連線就必然觸發問題。Google只確認三個漏洞由內部發現,未有公開跡象顯示攻擊者已經掌握佢哋。

桌面版同 Android 版本唔好撈亂

Windows 同 Mac 穩定版已更新至 150.0.7871.128/.129,Linux 就係 150.0.7871.128。Android 今次收到嘅版本係 150.0.7871.128,Google話佢包含對應桌面版嘅同一批保安修正。版本尾數有差異唔等於漏裝修補,重點係對返自己用緊嘅平台。官方亦講明更新會分幾日甚至幾星期推出,Android 版同樣要等 Google Play 分批派送,未即刻見到唔代表部機有問題。

而家可以點檢查同更新

Windows 同 Mac 用戶可以開 Chrome 右上角選單,入 「說明」→「關於 Google Chrome」;去到呢頁,瀏覽器會自動檢查同下載更新,完成後要撳重新啟動。Linux 用戶除咗可以喺同一位置睇版本,亦應按自己用緊嘅發行版,用套件管理工具更新。公司電腦如果由 IT 統一管理,見到更新停咗或者按鈕受限制,就要搵管理員處理。

Android 用戶可以開 Google Play,撳右上角個人頭像,再入 「管理應用程式和裝置」,睇 Chrome 有冇更新;版本則可以喺 Chrome 嘅「設定」→「關於 Chrome」查到。自動更新開咗都值得手動望一次,尤其係長期唔重開瀏覽器、公司共用電腦,或者成日將 Chrome 留喺背景嘅裝置。下載完修正版之後記得重開 Chrome,否則更新未必正式生效。

更新後記得重開 Chrome

Chrome 呢類大型瀏覽器本身就由大量元件組成,短時間再出修正版唔代表已經爆發攻擊,但亦提醒咗大家:**Chrome 喺背景下載更新後,仍要重開先會正式套用修補。**個人用戶今晚重開一次 Chrome 已經夠實際;公司 IT 就應該核對裝置有冇升到對應版本,避免一批長期開住嘅工作站停留喺舊版。至於漏洞能造成幾大影響,要等 Google 放寬技術資料限制先可以再判斷。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook