Google 近日发布安全更新,修复了一个已被Chrome零日漏洞(CVE-2025-6554)。该漏洞由 Google 威胁分析小组(TAG)于上周发现并上报。
Google 在公告中表示:“我们已知 CVE-2025-6554 漏洞正在被利用于实际攻击中。”
关于CVE-2025-6554
该漏洞为V8引擎中的类型混淆漏洞。V8 是 Chrome 及其他 Chromium 内核浏览器中负责 JavaScript 与 WebAssembly 执行的核心引擎。
远程未认证攻击者可通过诱导受害者访问恶意构造的HTML 页面,触发漏洞,进而执行任意读写操作。在某些情况下,攻击者可进一步实现远程代码执行(RCE)。
按照Google 一贯做法,漏洞细节暂未公开,待补丁广泛部署后再行披露。但由于该漏洞由 Google TAG 安全研究员 Clément Lecigne 发现,业内普遍推测该漏洞可能被用于国家级背景的定向攻击中。
例如,2024年8月修复的一起 V8 零日漏洞,后被披露是朝鲜 APT 组织针对加密货币行业发动攻击所使用的。
该漏洞于2025年6月25日被研究人员上报。次日,Google 已在全平台的 Chrome 稳定版本中推送配置变更以作为临时缓解措施。
目前,漏洞已被正式修复,受影响版本如下:
-
Windows 平台:Chrome v138.0.7204.96/.97
-
Mac 平台:Chrome v138.0.7204.92/.93
-
Linux 平台:Chrome v138.0.7204.96
由于该漏洞正在被在野利用,Google 强烈建议用户尽快完成更新。
用户可根据操作系统和自动更新设置,通过手动检查更新或重启浏览器来完成修复。
其他基于Chromium 的浏览器,如 Microsoft Edge、Brave、Opera、Vivaldi 的安全更新仍在跟进中,建议用户保持关注。
结合此次安全漏洞分析,江苏国骏可以为客户提供以下服务
安全策略与规划:协助客户制定浏览器零日漏洞的应急响应流程,明确升级、隔离、回滚等操作规范 安全防护与加固:通过组策略或终端安全管理软件 数据安全:监控浏览器异常数据传输行为,防止漏洞利用后的数据外泄 身份与访问控制安全:限制浏览器访问关键业务系统的权限,降低横向渗透风险 安全网关:强制拦截恶意URL,阻止员工访问可能携带漏洞利用代码的网站 |
原文始发于微信公众号(信息安全大事件):Google紧急修复Chrome零日漏洞(CVE-2025-6554)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论