आपातकालीन Chrome स्थिर पैच (140.0.7339.185/.186) एक सक्रिय रूप से शोषित V8 शून्य-दिन को ठीक करता है

मुख्य अपडेट

गूगल ने 17-18 सितंबर, 2025 को एक आपातकालीन स्थिर अपडेट (Chrome 140.0.7339.185/.186) जारी किया है जो चार उच्च-गंभीर कमजोरियों को ठीक करता है—सबसे महत्वपूर्ण CVE‑2025‑10585, जो V8 JavaScript/WebAssembly इंजन में एक प्रकार-भ्रम बग है जो सक्रिय रूप से शोषित किया जा रहा है। यह रिलीज ANGLE में एक हीप बफर ओवरफ्लो और WebRTC और Dawn (WebGPU) में उपयोग-के-बाद-मुक्त बग को भी संबोधित करती है। (theregister.com)

यह क्यों महत्वपूर्ण है

यह एक नियमित ब्राउज़र बंप नहीं है: V8 के खिलाफ एक सक्रिय शोषण का मतलब है कि केवल तैयार की गई सामग्री पर जाना मनमाने कोड निष्पादन का कारण बन सकता है। व्यावहारिक डेवलपर प्रभाव:

• तुरंत डेवलपर मशीनों और CI कार्यकर्ताओं को अपडेट करें जो GUI या हेडलैस Chromium (स्थानीय ब्राउज़र, Playwright/Puppeteer रनर, Lighthouse/axe स्कैन) चलाते हैं।
• CI इमेज को फिर से बनाएं और रोल करें जो Chromium/Chrome (E2E परीक्षणों के लिए उपयोग किए जाने वाले Docker इमेज, ब्राउज़र रहित कंटेनर, या किसी भी स्वचालित स्क्रीनशॉट/परीक्षण रनर) को शामिल करते हैं ताकि पाइपलाइनों में कमजोर बाइनरी के साथ परीक्षण न चलें।
• यदि आपकी स्टैक Chromium या V8 को एम्बेड करती है (हेडलैस सेवाएं, कुछ परीक्षण हार्नेस, या तीसरे पक्ष के घटक), विक्रेता अपडेट की पुष्टि करें और उन्हें लागू करें; यह न मानें कि Node प्रभावित है जब तक कि इसका V8 संस्करण पैच किए गए रेंज से मेल नहीं खाता। इन कार्यों को करने से डेवलपर कार्यस्थानों, CI रहस्यों, और स्वचालित बुनियादी ढांचे के लिए जोखिम कम होता है जो नियमित रूप से वेब सामग्री लोड करता है।

स्रोत

• Source