安全公告編號:CNTA-2025-0010
2025年7月2日,國家信息安全漏洞共享平臺(CNVD)收錄了Google Chrome V8類型混淆漏洞(CNVD-2025-14800,對應(yīng)CVE-2025-6554)。攻擊者利用該漏洞,可通過誘騙用戶訪問惡意頁面,實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。目前,谷歌公司表示該漏洞已發(fā)現(xiàn)在野利用,并發(fā)布Chrome新版本。CNVD建議受影響的單位和用戶立即升級至最新版本。
一、漏洞情況分析
Google Chrome是一款由谷歌公司開發(fā)的網(wǎng)頁瀏覽器,該瀏覽器基于WebKit、Mozilla等開源軟件開發(fā),具有較好的性能、出色的兼容性和豐富的擴(kuò)展程序,得到了廣泛使用。
2025年7月2日,國家信息安全漏洞共享平臺(CNVD)收錄了Google Chrome V8類型混淆漏洞。由于Chrome瀏覽器V8 JavaScript(JS)引擎在處理JS代碼時,對某些數(shù)據(jù)類型的邊界檢查和類型轉(zhuǎn)換處理不當(dāng),導(dǎo)致瀏覽器無法正確區(qū)分不同類型的內(nèi)存數(shù)據(jù)。攻擊者通過精心構(gòu)造包含特定JS表達(dá)式的惡意Html頁面,并誘騙用戶點(diǎn)擊訪問來觸發(fā)此漏洞。未經(jīng)授權(quán)的攻擊者利用該漏洞,可遠(yuǎn)程對目標(biāo)主機(jī)執(zhí)行任意讀寫操作,并進(jìn)一步實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行攻擊。
CNVD對該漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響的產(chǎn)品和版本包括:
Google Chrome < 138.0.7204.96
基于Chromium內(nèi)核開發(fā)的瀏覽器
三、漏洞處置建議
谷歌公司已緊急發(fā)布新版本修復(fù)該漏洞,各平臺Chrome的修復(fù)版本情況如下:
1)Windows版:Chrome v138.0.7204.96/.97
2)Linux版:Chrome v138.0.7204.96
3)Mac版:Chrome v138.0.7204.92/.93
Microsoft Edge、Brave、Opera和Vivaldi等基于Chromium內(nèi)核開發(fā)瀏覽器的安全更新仍在開發(fā)中。
CNVD建議受影響的單位和用戶立即將Chrome升級至最新版本,同時在使用Chrome時做好安全防范措施,謹(jǐn)慎訪問來源不明的網(wǎng)頁鏈接或文件。
(轉(zhuǎn)自:國家信息安全漏洞共享平臺)