1.漏洞背景
GoogleChrome
是一款由谷歌公司开发的网页浏览器。近日,国家信息安全漏洞共享平台(CNVD)收录了GoogleChromeV8类型混淆漏洞,编号为CVE-2025-6554。谷歌官方表示该漏洞已发现在野利用。
2.
漏洞详情
CVE-2025-6554
是一个类型混淆漏洞,CNVD综合评级为“高危”。该漏洞源于Chrome浏览器的V8JavaScript引擎在处理JS代码时,未能正确处理某些数据类型。攻击者可以通过诱骗用户访问包含特制JavaScript代码的恶意页面来利用此漏洞,在目标主机上执行任意代码,整个过程需要用户交互。
目前受影响的版本为:
GoogleChrome<138.0.7204.96
基于
Chromium内核开发的浏览器
3.
漏洞影响
远程代码执行风险:攻击者成功利用此漏洞可能导致:
在目标主机上执行任意读写操作和代码执行。
植入后门、恶意程序,窃取本地敏感数据。
获取用户主机控制权限。
高危漏洞特性:该漏洞已被发现在野利用,一旦用户访问恶意链接,即可触发攻击,对用户主机安全构成严重威胁。
4.
处置建议
版本检查:
检查当前环境中部署的
GoogleChrome浏览器版本。
更新修复:
官方已发布新版本修复此漏洞。
请立即将
GoogleChrome浏览器更新至最新版本。
Windows
版:138.0.7204.96或.97
Mac
版:138.0.7204.92或.93
Linux
版:138.0.7204.92
安全加固:
谨慎访问来源不明的网页链接或文件。
使用其他基于
Chromium内核浏览器(如MicrosoftEdge、Brave等)的用户,应密切关注并及时应用其厂商发布的安全更新。