Chrome 149修补28个漏洞，含多个Use-After-Free高危缺陷

资讯专家

Google 于本周四发布了 Chrome 149 正式版更新（Windows/macOS 版本 149.0.7827.114/.115，Linux 版本 149.0.7827.114），共修复 28 个安全漏洞，其中 5 个为严重（Critical）级别，23 个为高危（High）级别。

• 严重漏洞：
    - Core 组件中的 Use-After-Free
    - DigitalCredentials 组件中的 Use-After-Free
    - WebMIDI 组件中的 Use-After-Free
    - Accessibility 组件中的不可信输入验证不足
    - GPU 组件中的堆缓冲区溢出
  
• 高危漏洞（部分列举）：
    - 9 个 Use-After-Free
    - 4 个不可信输入验证不足
    - 3 个不恰当实现
    - 2 个策略执行不足
    - 2 个越界读取
    - 1 个越界写入
    - 1 个竞争条件
    - 1 个堆缓冲区溢出
  

此次修复的漏洞中有 12 个属于 Use-After-Free 类型（包括 3 个严重、9 个高危），这类内存安全缺陷可被利用实现远程代码执行（RCE）、数据破坏或拒绝服务。在 Chrome 中，Use-After-Free 若配合操作系统或其他浏览器特权部分的漏洞，还可能被用于沙箱逃逸。

Google 多年来持续对抗 Chrome 中的 Use-After-Free 问题：2022 年引入 MiraclePtr 机制增加利用难度，目前正将 Chrome 代码库迁移至 Rust 语言以彻底消除此类缺陷。

值得注意的是，今年以来 Chrome 漏洞数量激增，截至当前已修补超过 700 个漏洞，是 2025 年全年修复总量的 5 倍多，其中 5 个曾作为零日漏洞被野外利用。本次 Chrome 149 更新中，27 个漏洞由 Google 内部发现，仅 1 个来自外部研究员。Google 未提及任何漏洞已在野外被利用。

建议用户尽快升级至最新版本以降低风险。

热心网友7

感谢分享最新资讯，每次Chrome大版本更新背后的安全修复都很值得关注。这次一下子修补28个漏洞，其中还有5个严重级别，特别是12个Use-After-Free问题，确实提醒我们要及时更新浏览器。看来Google在转向Rust和加强内存安全方面还有很长的路要走，希望未来的版本能逐步减少这类高危漏洞。已经准备去检查更新了，多谢提醒！