网站主流服务器语言,搜索引擎营销就是seo,做网站品牌,这样建立自己的网站【高危】Google Chrome 139.0.7236.0 UAF漏洞
漏洞描述
Google Chrome 是美国谷歌#xff08;Google#xff09;公司的一款Web浏览器。 受影响版本中#xff0c;OpenscreenSessionHost::ReportAndLogError 方法的参数使用了 std::string_view 类型来接收错误消息。当一…【高危】Google Chrome 139.0.7236.0 UAF漏洞
漏洞描述
Google Chrome 是美国谷歌Google公司的一款Web浏览器。 受影响版本中OpenscreenSessionHost::ReportAndLogError 方法的参数使用了 std::string_view 类型来接收错误消息。当一个异步任务通过 base::BindPostTaskToCurrentDefault 绑定此方法时如果传入的 std::string_view 指向一个局部作用域的 std::string 对象在异步任务执行前该局部字符串对象可能已经被销毁其内存已被释放。此时异步任务再通过 std::string_view 访问这块被释放的内存便会引发UAF漏洞。 修复版本中通过修改相关函数的签名将 ReportAndLogError 方法的参数类型从 std::string_view 改为 std::string。 同时相关的回调函数类型 ErrorCallback 也从接收 std::string_view 改为接收 std::string。 这会强制调用方传递一个拥有数据所有权的 std::string 对象利用 C 的移动语义可以高效地将所有权转移给异步任务。这确保了字符串的生命周期至少持续到异步任务执行完毕。
MPS编号MPS-7hfa-beolCVE编号CVE-2025-8578处置建议建议修复发现时间2025-08-06利用成本中利用可能性中是否有POC否
影响范围
影响组件受影响的版本最小修复版本chrome(-∞, 139.0.7236.0)139.0.7236.0chromium(-∞, 139.0.7236.0)139.0.7236.0
参考链接
https://github.com/chromium/chromium/commit/e67cd45088c4d1eb50ac0f4a66b428e320531b97
https://www.oscs1024.com/hd/MPS-7hfa-beol
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop.html?m1
https://issues.chromium.org/issues/423387026
排查方式
手动排查
检查Chrome版本在Chrome地址栏输入chrome://version查看版本号是否低于139.0.7236.0。 版本修复若版本低于139.0.7236.0通过Chrome设置-关于Chrome更新至最新稳定版。
一键自动排查全公司此类风险
墨菲安全为您免费提供一键排查全公司开源组件漏洞投毒风险服务可一键接入扫描全公司的代码仓库、容器镜像仓库、主机、制品仓库等。
试用地址https://www.murphysec.com/adv?code6V8L
提交漏洞情报https://www.murphysec.com/bounty
处置方式
应急缓解方案
限制访问不受信任的网站及网络资源降低触发恶意攻击的风险在官方修复版本发布前可考虑暂时使用其他浏览器作为替代启用Chrome的沙箱模式减少漏洞被利用后的影响范围
根本修复方案
打开Google Chrome浏览器点击右上角菜单按钮(三个点)选择帮助-“关于Google Chrome”浏览器将自动检查更新等待更新完成后重启浏览器确认浏览器版本已升级至139.0.7236.0或更高版本对于企业环境可通过组策略或管理工具批量部署更新
