高危漏洞,此漏洞可能允许恶意攻击者通过特殊构造的链接执行攻击代码,PoC 已公开,建议马上升级到以下版本
- Windows:138.0.7204.96 / .97
- macOS:138.0.7204.92 / .93
- Linux:138.0.7204.96
谷歌在发现一个已被野外利用的高危零日漏洞(CVE-2025-6554)后,紧急为其Chrome浏览器的稳定版通道发布了更新。该漏洞被归类为V8 JavaScript引擎中的类型混淆漏洞,对Windows、macOS和Linux平台的用户构成严重威胁。
漏洞详情
CVE-2025-6554是Chrome核心渲染引擎V8 JavaScript引擎中的类型混淆漏洞。该漏洞由谷歌威胁分析小组(TAG)的Clément Lecigne于2025年6月25日发现,攻击者可通过诱使浏览器错误解析内存类型来执行任意代码——这种利用方法通常用于实现远程代码执行(RCE)。
风险等级
零日漏洞——尤其是影响Chrome等浏览器的漏洞——是国家行为体、高级持续性威胁(APT)组织和以经济利益为目的的网络犯罪分子的主要目标。V8引擎中的类型混淆漏洞此前曾被用于"路过式下载"攻击、沙箱逃逸以及通过看似无害的网站投递恶意负载。
更新信息
补丁版本号为:Windows版138.0.7204.96/.97、Mac版138.0.7204.92/.93、Linux版138.0.7204.96,将在未来数日乃至数周内逐步推送。鉴于该漏洞的敏感性及其潜在影响,在大多数用户获得保护前,完整技术细节仍将受限。
谷歌在公告中警告:“谷歌已确认CVE-2025-6554漏洞的野外利用实例存在。”