美国网络安全与基础设施安全局(CISA)近日将谷歌 Chromium 浏览器的V8引擎漏洞(编号 CVE-2025-6554)纳入已知被利用漏洞(KEV)目录,要求联邦机构在 7 月 23 日前完成修复,以防范针对性攻击。
这一漏洞早在上周就已引起关注。谷歌于 6 月下旬发布安全补丁,修复了这一在野存在利用的高危漏洞。美国国家标准与技术研究院(NIST)描述称,该漏洞属于 V8 引擎的类型混淆问题,在 Chrome 浏览器 138.0.7204.96 版本之前,远程攻击者可通过精心构造的 HTML 页面实现任意读写操作,安全等级为 “高”。
V8 引擎作为 Chrome 浏览器的核心组件,负责处理 JavaScript 和 WebAssembly 代码。类型混淆漏洞的危害在于,程序会错误地将数据类型混淆,可能导致内存损坏、程序崩溃,甚至让攻击者有机可乘,执行任意代码。谷歌在安全公告中证实,该漏洞已于 6 月 26 日通过全平台稳定通道的配置更新得到缓解,且 “已知存在野外利用样本”。
据悉,该漏洞由谷歌威胁分析小组的 Clément Lecigne 于 6 月 25 日发现,目前 Chrome 稳定版已更新至 138.0.7204.x 版本,补丁正逐步向 Windows、Mac 和 Linux 全平台推送。值得注意的是,这是 2025 年谷歌修复的第四个 Chrome 零日漏洞,反映出浏览器安全面临的持续压力。
根据 CISA 发布的《绑定操作指令 22-01》,美国联邦民用机构(FCEB)必须在规定期限前修复 KEV 目录中的漏洞,以阻断黑客利用这些漏洞发起的攻击。安全专家同时建议企业和个人用户尽快检查浏览器版本,及时安装更新,避免成为攻击目标。
资讯来源:securityaffairs
转载请注明出处和本文链接
球分享
球点赞
球在看
点击阅读原文查看更多
原文始发于微信公众号(看雪学苑):CISA 将谷歌 Chromium V8 漏洞纳入必修补名单,7月23日前须完成修复
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论