紧急 Chrome 稳定版补丁 (140.0.7339.185/.186) 修复了一个被积极利用的 V8 零日漏洞

关键更新

谷歌在2025年9月17日至18日发布了紧急稳定版更新（Chrome 140.0.7339.185/.186），修复了四个高严重性漏洞——最关键的是 CVE‑2025‑10585，这是一个在野外被积极利用的 V8 JavaScript/WebAssembly 引擎中的类型混淆漏洞。该版本还修复了 ANGLE 中的堆缓冲区溢出和 WebRTC 及 Dawn (WebGPU) 中的使用后释放漏洞。（the register.com）

重要性

这不是一次例行的浏览器更新：针对 V8 的主动利用意味着仅仅访问经过精心制作的内容就可能导致任意代码执行。对开发者的实际影响：

• 立即更新运行 GUI 或无头 Chromium 的开发者机器和 CI 工作节点（本地浏览器、Playwright/Puppeteer 运行器、Lighthouse/axe 扫描）。
• 重新构建并滚动包含 Chromium/Chrome 的 CI 镜像（用于 E2E 测试的 Docker 镜像、无浏览器容器或任何自动化屏幕截图/测试运行器），以便管道不会执行带有漏洞的二进制文件的测试。
• 如果你的技术栈嵌入了 Chromium 或 V8（无头服务、某些测试工具或第三方组件），请验证供应商更新并应用它们；不要假设 Node 受到影响，除非其 V8 版本与修补范围匹配。 这样做可以降低开发者工作站、CI 秘密和定期加载网页内容的自动化基础设施的风险。

来源

• 来源