Google紧急修复Chrome零日漏洞(CVE-2025-6554)

admin 2025年7月5日13:41:15评论0 views字数 1054阅读3分30秒阅读模式

Google 近日发布安全更新,修复了一个已被Chrome零日漏洞(CVE-2025-6554)。该漏洞由 Google 威胁分析小组(TAG)于上周发现并上报。

Google 在公告中表示:“我们已知 CVE-2025-6554 漏洞正在被利用于实际攻击中。”

关于CVE-2025-6554

该漏洞为V8引擎中的类型混淆漏洞。V8 是 Chrome 及其他 Chromium 内核浏览器中负责 JavaScript 与 WebAssembly 执行的核心引擎。

远程未认证攻击者可通过诱导受害者访问恶意构造的HTML 页面,触发漏洞,进而执行任意读写操作。在某些情况下,攻击者可进一步实现远程代码执行(RCE)。

按照Google 一贯做法,漏洞细节暂未公开,待补丁广泛部署后再行披露。但由于该漏洞由 Google TAG 安全研究员 Clément Lecigne 发现,业内普遍推测该漏洞可能被用于国家级背景的定向攻击中。

例如,2024年8月修复的一起 V8 零日漏洞,后被披露是朝鲜 APT 组织针对加密货币行业发动攻击所使用的。

该漏洞于2025年6月25日被研究人员上报。次日,Google 已在全平台的 Chrome 稳定版本中推送配置变更以作为临时缓解措施。

目前,漏洞已被正式修复,受影响版本如下:

  • Windows 平台:Chrome v138.0.7204.96/.97

  • Mac 平台:Chrome v138.0.7204.92/.93

  • Linux 平台:Chrome v138.0.7204.96

由于该漏洞正在被在野利用,Google 强烈建议用户尽快完成更新。

用户可根据操作系统和自动更新设置,通过手动检查更新或重启浏览器来完成修复。

其他基于Chromium 的浏览器,如 Microsoft Edge、Brave、Opera、Vivaldi 的安全更新仍在跟进中,建议用户保持关注。

结合此次安全漏洞分析,江苏国骏可以为客户提供以下服务

安全策略与规划:协助客户制定浏览器零日漏洞的应急响应流程,明确升级、隔离、回滚等操作规范

安全防护与加固:通过组策略或终端安全管理软件

数据安全:监控浏览器异常数据传输行为,防止漏洞利用后的数据外泄

身份与访问控制安全:限制浏览器访问关键业务系统的权限,降低横向渗透风险

安全网关:强制拦截恶意URL,阻止员工访问可能携带漏洞利用代码的网站

如需进一步定制化方案,欢迎联系江苏国骏技术团队,联系电话:400-6776-989/13338963885

原文始发于微信公众号(信息安全大事件):Google紧急修复Chrome零日漏洞(CVE-2025-6554)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月5日13:41:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Google紧急修复Chrome零日漏洞(CVE-2025-6554)https://cn-sec.com/archives/4221441.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息