Chrome 修補在野利用漏洞　ANGLE元件成攻擊突破口

Google 近日釋出 Chrome 瀏覽器安全更新，修補六個安全漏洞，其中一項漏洞已遭惡意利用。此高風險漏洞編號為 CVE-2025-6558（CVSS 評分：8.8），源於 Chrome 瀏覽器 ANGLE 與 GPU 元件對不可信輸入驗證機制存在缺陷。

沙箱逃逸威脅嚴重　僅需瀏覽網頁即可突破防護

該漏洞影響 Google Chrome 138.0.7204.157 之前所有版本，使遠端攻擊者能透過特製 HTML 頁面於瀏覽器 GPU 處理程序中執行任意程式碼。Google 目前尚未公布攻擊者如何利用此漏洞繞過瀏覽器沙箱防護機制的詳細技術資訊。

ANGLE（Almost Native Graphics Layer Engine，近乎原生圖形層引擎）是 Chrome 渲染引擎與裝置圖形驅動程式間的轉換層，其安全漏洞讓攻擊者得以濫用原本受隔離保護的低階 GPU 操作，進而繞過 Chrome 沙箱機制。這種攻擊手法提供了罕見但威力強大的系統深層存取管道。

對一般使用者而言，沙箱逃逸漏洞意味著單純瀏覽惡意網站即可能突破瀏覽器安全隔離層，使攻擊者直接與底層系統互動。在針對性攻擊情境中，此類威脅尤其危險，受害者僅需開啟網頁即可能遭受無聲入侵，無須任何下載或點擊動作。

Chromium系瀏覽器同受影響

為防範潛在威脅，建議使用者立即將 Chrome 瀏覽器更新至最新版本：Windows 與 macOS 系統應更新至 138.0.7204.157/.158 版本，Linux 系統則應更新至 138.0.7204.157 版本。

使用者可透過「更多」→「說明」→「關於 Google Chrome」選單確認是否已安裝最新更新，完成後需點擊「重新啟動」。其他基於 Chromium 核心的瀏覽器使用者，包括 Microsoft Edge、Brave、Opera 與 Vivaldi，亦應於相關更新發布後儘速套用修補程式。

2025年第五個在野利用漏洞

自今年初至今，Google 已修復五個於 Chrome 中遭主動利用或已有概念驗證（PoC）的零時差漏洞，包括：CVE-2025-2783、CVE-2025-4664、CVE-2025-5419 與 CVE-2025-6554。CVE-2025-6558 成為今年 Chrome 瀏覽器中第五個被發現並修補的主動利用漏洞。

今年三月，Google 修補高風險沙箱逃逸漏洞 CVE-2025-2783，該漏洞由卡巴斯基研究人員發現，曾遭用於針對俄羅斯政府機構與媒體組織的間諜攻擊行動。五月釋出的更新修復 CVE-2025-4664 零時差漏洞，攻擊者可透過此漏洞劫持使用者帳號。

六月，Google 修補 Chrome V8 JavaScript 引擎中的嚴重緩衝區溢位漏洞 CVE-2025-5419，該漏洞由 Google 威脅分析小組（TAG）回報。七月初則修復第四個零時差漏洞 CVE-2025-6554，同樣位於 V8 引擎中，由 Google 威脅分析小組研究人員發現。

頻繁的零時差漏洞發現與修補顯示 Chrome 瀏覽器持續面臨嚴峻安全挑戰，使用者應養成定期更新瀏覽器的資安習慣，降低遭受攻擊的風險。

本文轉載自 TheHackerNews、BleepingComputer。