谷歌發布了 Chrome 的安全更新，以修復六個漏洞，其中一個漏洞被攻擊者利用來逃避瀏覽器的沙盒保護。此漏洞編號為CVE-2025-6558，嚴重等級為 8.8。該漏洞由Google威脅分析小組 (TAG) 的研究人員於 6 月 23 日發現。此安全漏洞被描述為ANGLE和GPU對不受信任輸入的驗證不足，影響138.0.7204.157之前的Google Chrome版本。成功利用漏洞的攻擊者可以使用特製的HTML頁面執行沙盒逃逸。

ANGLE（Almost Native Graphics Layer Engine）是一個開源圖形抽象層，Chrome 使用它將 OpenGL ES API 呼叫轉換為 Direct3D、Metal、Vulkan 和 OpenGL。由於 ANGLE 處理來自不受信任來源（例如使用 WebGL 的網站）的 GPU 命令，因此該元件中的錯誤可能會對安全性產生嚴重影響。

 

此漏洞允許遠端攻擊者使用特製的 HTML 頁面在瀏覽器的 GPU 進程中執行任意程式碼。谷歌尚未提供觸發漏洞如何導致瀏覽器沙盒逃逸的技術細節。谷歌在安全公告中表示：“在大多數用戶更新修復程序之前，對錯誤詳細信息和鏈接的訪問可能會受到限制。”“如果其他項目同樣依賴但尚未修復的第三方庫中也存在該錯誤，我們也將保留限制。”

Chrome 沙盒元件是一種核心安全機制，它將瀏覽器進程與底層作業系統隔離，從而防止惡意軟體傳播到網頁瀏覽器之外並危害裝置。鑑於 CVE-2025-6558 的高風險和活躍利用狀態，建議 Chrome 用戶盡快更新至版本 138.0.7204.157/.158，具體取決於他們的作業系統。您可以前往chrome://settings/help並等待更新檢查完成。重新啟動網頁瀏覽器後，更新將成功套用。

目前的 Chrome 安全更新修復了另外五個漏洞，包括 V8 引擎中一個高風險漏洞（CVE-2025-7656）以及 WebRTC 中一個釋放後使用漏洞（CVE-2025-7657）。這五個漏洞均未被積極利用。

CVE-2025-6558 是今年年初以來在 Chrome 瀏覽器中發現並修復的第五個被主動利用的漏洞。今年3月，Google修補了卡巴斯基研究人員發現的一個高危險沙盒逃脫漏洞CVE-2025-2783。該漏洞曾被用於針對俄羅斯政府機構和媒體組織的定向間諜攻擊，並傳播惡意軟體。兩個月後，即 5 月份，谷歌發布了另一個更新來修復Chrome 中的一個零日漏洞CVE-2025-4664，該漏洞允許攻擊者劫持用戶帳戶。

6 月份，該公司解決了另一個嚴重問題 CVE-2025-5419，這是 Chrome V8 JavaScript 引擎中的一個越界讀取/寫入漏洞，由 Google TAG 的 Benoît Sevens 和 Clément Lecigne 報告。本月初，Google修復了 Chrome 中的第四個零日漏洞 CVE-2025-6554，該漏洞同樣存在於 V8 引擎中，由 GTAG 研究人員發現。