Chrome 150 修補兩個 Critical Ozone 漏洞:桌面、Android 更新方法
Tech News

Chrome 150 修補兩個 Critical Ozone 漏洞:桌面、Android 更新方法

圖片:via iThome — https://www.ithome.com.tw/news/177328
TechLab 編輯部(譯)·

Windows、Mac、Linux 同 Android 版本同檢查方法一次講清楚

Google 7 月 14 日開始推出 Chrome 150 穩定版安全更新,Windows 同 Mac 會去到 150.0.7871.124 或 .125,Linux 係 .124;Android 同日亦升到 .124。iThome 報道整理咗 15 項修正,當中兩個 Ozone 漏洞俾 Google 評為 Critical。要留意 Chrome 長期開住:就算自動更新已經下載好,未重開 browser,修正都未會套用。

兩個 Critical 漏洞都喺 Ozone

兩個重點漏洞分別係 CVE-2026-15764CVE-2026-15765,類型同樣係 Ozone use-after-free。根據 Chromium 嘅 Ozone 文件,Ozone 係 Aura 視窗系統下面嘅平台抽象層,負責低層輸入同圖像介面,會接觸視窗、屏幕、鍵盤、滑鼠、touchpad 同顯示設定等功能。今次兩個 Critical 漏洞都出現喺呢層,所以建議盡快更新;不過 Google 暫時限制咗漏洞詳情,外界未有足夠資料判斷點樣觸發或者攻擊鏈去到邊。

Use-after-free 用人話講,即係程式釋放咗一段記憶空間,之後又錯誤噉繼續引用佢。MITRE 嘅 CWE-416 資料顯示,呢類弱點一般可以引起 crash、資料損壞,特定情況下亦可能造成資料外洩或未授權程式碼執行。要分清楚,呢段只係漏洞類型嘅一般背景;Google 未確認今次兩個 CVE 具備晒上述後果,官方亦冇公開觸發條件。

官方冇提到實際攻擊

Google 對兩項漏洞嘅嚴重程度標做 Critical,但官方公告冇列出 CVSS 分數,亦冇話漏洞正俾人實際利用。現有資料足以支持高優先度更新,未足以將件事叫做零日攻擊或者話已經有黑客出手。Google 仲提醒,等大部分用戶裝好修正之前,bug 連結同技術細節可能繼續鎖住,所以暫時唔應該自行估攻擊手法或者受影響權限。

各平台要升到咩版本

Google 今輪公告涵蓋 Windows、Mac、Linux 同 Android,但冇逐個 CVE 列明每個 OS 嘅可利用情況。實際處理可以直接跟修正版本:Windows、Mac 要升到 150.0.7871.124 或 .125,Linux 要 .124,Android 要 .124。桌面版會喺幾日到幾星期內分批推出;Android 版亦要幾日先逐步覆蓋 Google Play。如果一時未見更新,可能只係分批推出仲未輪到部機,之後要再檢查。

檢查完記得重新啟動

桌面版可以撳 Chrome 右上角三點,入「說明」再揀「關於 Google Chrome」。Chrome 會喺呢頁檢查同下載更新,完成後要撳 「重新啟動」,再返同一頁確認版本。Linux 用戶亦可經系統嘅套件管理工具更新。Android 就開 Play Store,撳個人頭像入管理 app 同裝置頁面,喺可用更新搵 Chrome;亦可以去 Chrome 設定嘅「關於 Chrome」睇版本。Google 更新教學亦講明,下載咗更新都要重開 browser 先會套用。

公司同學校嘅 IT 要留意,派咗更新同每部機已套用係兩回事。長開 browser、共用電腦或者受管理 policy 控制嘅裝置,都可能等到下次重新啟動先完成。最實際嘅做法係抽查 Chrome 版本,再安排用戶關閉同重開 browser;而家已經值得優先完成更新,後續再睇 Google 會唔會補充漏洞遭實際利用嘅消息。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook