聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
该漏洞是位于 V8 JavaScript 引擎中的一个界外读和写问题。谷歌在安全公告中提到,“谷歌发现在野存在CVE-2025-5419的利用。”但谷歌并未提供关于该安全缺陷或利用的更多详情。该漏洞由谷歌威胁分析团队 (TAG) 成员 Clement Lecigne 和 Benoît Sevens 报送。
TAG 研究人员此前曾报送遭商用监控软件厂商利用的多个漏洞,包括位于 Chrome 中的此类漏洞。谷歌浏览器中的漏洞经常遭监控厂商利用,而CVE-2025-5419可能也并不例外。
NIST 发布一份安全报告提到,该已遭利用的0day漏洞“可使远程攻击者通过构造的 HTML 页面利用堆损坏”。值得注意的是,界外漏洞遭利用通常会导致任意代码执行后果。
这份最新的浏览器更新还修复了一个位于 Blink 中的中危 UAF 漏洞CVE-2025-5068,研究人员为此获得1000美元的赏金。而CVE-2025-5419的报送研究员不会获得任何赏金。Chrome 的最新版本是 137.0.7151.68/.69 (Windows 和 macOS)以及 137.0.7151.68(Linux)。
CVE-2025-5419的补丁是在3月份据称遭俄罗斯国家黑客组织利用 Chrome 沙箱逃逸 (CVE-2025-2783) 漏洞被捕获和修复后发布的。火狐浏览器也修复了一个类似漏洞。5月中旬,谷歌发布一份 Chrome 136更新,并提醒称该漏洞的利用已在野出现。该补丁是在研究员在社交媒体平台X上发布相关信息后推出的。
原文始发于微信公众号(代码卫士):谷歌悄悄紧急修复已遭利用的 Chrome 0day
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论