FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

网络安全专家AISLE近期在全球主流网页浏览器底层代码中发现一个严重安全漏洞，可能导致超过40亿台设备面临数据泄露风险。该漏洞被评定为中等危害程度（4.3分），影响所有基于Chromium代码库的主流浏览器，包括Google Chrome、Microsoft Edge、Brave和Opera。

WebXR内存泄露漏洞

问题出在WebXR技术中，该技术允许网站在浏览器中直接运行虚拟现实（VR）和增强现实（AR）体验。AISLE的自动化分析系统于2025年10月发现该漏洞，确认其已在代码中潜伏七个月。

技术故障表现为：代码在处理3D转换时未能正确处理微小数据片段，导致浏览器在后台意外读取相邻内存中的64字节额外数据。博客作者Stanislav Fort解释称，泄露的数值"暴露了邻近堆内存，包括指针数据"，攻击者可利用这些数据绕过安全措施。但攻击者需要用户与特定恶意页面交互（如点击启动VR会话）才能触发数据泄露。

Google的快速响应

鉴于Chromium内核浏览器占据全球70%以上市场份额（仅Google Chrome就有超过30亿设备使用），几乎所有Windows笔记本、Android手机等设备均受影响。Google在AISLE于2025年10月15日负责任披露后"24小时内推出修复方案"，并于同年10月28日更新Chrome稳定版。

用户应对措施

编号CVE-2025-12443的漏洞虽已修复，但用户必须立即更新浏览器以保护敏感信息，包括：

• Chrome（升级至142.0.7444.59或更高版本）
• Microsoft Edge、Brave、Opera等所有基于Chromium的浏览器

该漏洞提醒我们，VR/AR等新技术会带来复杂的安全隐患。最简单的防护措施是：立即检查浏览器设置并确保开启自动更新功能。

参考来源：

WebXR Flaw Hits 4 Billion Chromium Users, Update Your Browser Now

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）