關鍵摘要

風險等級：重大威脅

發布日期：2025年9月9日

影響範圍：全球數十億Chrome用戶

Google於9月9日緊急發布Chrome 140安全更新，修補兩項嚴重安全漏洞CVE-2025-10200與CVE-2025-10201。其中CVE-2025-10200被評為重大（Critical）等級，CVE-2025-10201為高危（High）等級。這兩個漏洞都可能被攻擊者利用，對用戶造成嚴重安全威脅。

漏洞詳細分析

CVE-2025-10200：ServiceWorker記憶體漏洞

• CVSS評分：8.8（重大）
• 漏洞類型：Use-after-free（釋放後使用）
• 影響元件：ServiceWorker

這是一個記憶體安全漏洞，發生在Chrome的ServiceWorker元件中。ServiceWorker負責處理背景任務，如推送通知、離線快取和背景同步等重要功能。

攻擊方式： 攻擊者可以建立特製的惡意HTML網頁，當用戶訪問時觸發已釋放記憶體的非法存取，可能導致：

• 任意代碼執行
• 瀏覽器崩潰
• 權限提升
• 系統完全控制

由於ServiceWorker的核心地位，成功利用此漏洞的影響範圍極為廣泛。

CVE-2025-10201：Mojo元件實作缺陷

• CVSS評分：8.8（高危）
• 漏洞類型：不當實作
• 影響元件：Mojo IPC（進程間通信）
• 受影響平台：Linux、ChromeOS、Android

Mojo是Chrome用於進程間通信的核心框架，確保不同網站被隔離在不同的渲染進程中。

攻擊方式： 攻擊者同樣透過特製HTML網頁觸發此漏洞，可能：

• 繞過網站隔離機制（Site Isolation）
• 跨站資料洩露
• 沙盒逃逸
• 存取其他網站的敏感資訊

受影響版本與修補資訊

受影響版本

• Windows： 140.0.7339.127之前的版本
• Linux： 140.0.7339.127之前的版本
• macOS： 140.0.7339.132之前的版本
• Android： 140.0.7339.123之前的版本

安全版本

請立即更新至以下版本或更新版本：

• Windows： 140.0.7339.128+
• Linux： 140.0.7339.127+
• macOS： 140.0.7339.133+
• Android： 140.0.7339.123+

立即行動指南

個人用戶

1. 立即檢查Chrome版本
2. 重新啟動瀏覽器
3. 啟用自動更新

企業管理者

1. 緊急評估與部署
2. 多平台考量
3. 監控與防護

IT安全團隊

1. 漏洞掃描
2. 事件回應準備

風險評估與建議

為什麼這次更新如此重要？

1. 高度可利用性：兩個漏洞都可透過簡單的網頁觸發，無需用戶額外操作
2. 廣泛影響面：Chrome作為全球最受歡迎的瀏覽器，潛在受害者數量龐大
3. 連鎖效應：影響所有基於Chromium的瀏覽器，包括Microsoft Edge
4. 獎金證明嚴重性：Google分別支付$43,000和$30,000漏洞賞金，顯示其重要性

企業安全策略建議

短期措施：

• 將Chrome更新列為最高優先級
• 實施瀏覽器版本強制檢查
• 考慮暫時限制不必要的網路活動

長期策略：

• 建立瀏覽器安全管理政策
• 部署企業級瀏覽器管理解決方案
• 定期進行安全意識培訓

技術深度分析

ServiceWorker攻擊向量

ServiceWorker的use-after-free漏洞特別危險，因為：

• ServiceWorker運行在背景，用戶難以察覺異常
• 具有廣泛的API存取權限
• 可以長期駐留，增加攻擊窗口

Mojo IPC安全邊界

Site Isolation是Chrome的核心安全機制，CVE-2025-10201的繞過意味著：

• 惡意網站可能存取其他網站資料
• 破壞瀏覽器的信任邊界
• 可能導致跨域資料洩露

結論與後續追蹤

這次Chrome安全更新凸顯了現代瀏覽器安全的複雜性。雖然目前尚未發現公開的概念驗證攻擊代碼，但考慮到漏洞的嚴重性，我們強烈建議：

1. 立即行動：不要延遲更新，將其視為緊急安全事件處理
2. 全面檢查：不僅限於Chrome，同時檢查所有Chromium相關產品
3. 持續監控：建立持續的安全監控機制，及早發現潛在攻擊

記住，在資安領域，「預防勝於治療」永遠是最佳策略。及時的安全更新是保護個人和企業資料安全的第一道防線。

資料來源：

• iThome資安新聞

更新日期：2025年9月17日

如果不知道怎麼修補也可以與我們聯絡。