资讯：谷歌修复2025年第七个Chrome零日漏洞

谷歌发布Chrome安全更新，修复了两个漏洞，其中包括一个编号为CVE-2025-13223的高危V8类型混淆漏洞 —— 该漏洞已被野外活跃利用。

S

Chrome V8引擎是谷歌开发的开源JavaScript及WebAssembly引擎（采用C++编写），为谷歌Chrome浏览器、Node.js等应用程序提供代码执行支持。

类型混淆漏洞是指软件将某块内存错误解读为其他类型对象的安全问题。这种混淆可能导致攻击者破坏内存数据、崩溃程序或执行恶意代码，在浏览器等C/C++开发的应用中较为常见 —— 这类语言较弱的内存安全性为漏洞利用提供了可能。攻击者可通过构造恶意HTML页面触发该漏洞，实现代码执行或导致程序崩溃。

该漏洞影响版本号低于142.0.7444.175的谷歌Chrome浏览器中的V8脚本引擎。

美（NIST）在安全公告中指出：“谷歌Chrome 142.0.7444.175版本之前的V8引擎存在类型混淆漏洞，远程攻击者可通过构造恶意HTML页面潜在利用此漏洞实施堆破坏。（Chromium安全等级：高危）”

公告同时明确：“谷歌已知悉CVE-2025-13223漏洞存在野外利用样本。”

该漏洞由谷歌威胁分析小组（TAG）的克莱芒・勒西涅（Clément Lecigne）于2025年11月12日报告。谷歌TAG团队主要负责调查国家级黑客组织及商业间谍软件供应商发起的攻击活动，此次漏洞大概率已被某类威胁行为者用于野外攻击。与往常一致，谷歌未披露该漏洞相关攻击事件的具体细节。

此外，谷歌还修复了另一个V8类型混淆漏洞CVE-2025-13224，该漏洞由谷歌通过其 “Big Sleep” 安全机制于2025年10月9日自行发现。

用户应根据自身操作系统，将 Chrome 浏览器更新至 142.0.7444.175 或 142.0.7444.176 版本，并重启浏览器以应用修复补丁。

CVE-2025-13223是2025年以来谷歌修复的第七个被野外活跃利用的Chrome零日漏洞，其余已修复的零日漏洞包括：

1. CVE-2025-10585：V8 JavaScript及WebAssembly引擎中的类型混淆漏洞。
2. CVE-2025-6558：谷歌Chrome 138.0.7204.157版本之前的ANGLE组件及GPU模块存在不可信输入验证不充分问题，远程攻击者可通过构造恶意HTML页面潜在实现沙箱逃逸。
3. CVE-2025-5419：谷歌Chrome浏览器早期版本的V8 JavaScript引擎存在越界读写漏洞，攻击者可通过构造恶意HTML页面触发堆破坏，该漏洞已被野外活跃利用。
4. CVE-2025-4664：Chrome浏览器漏洞，可能导致账户完全被盗取；谷歌已知悉该漏洞存在野外利用样本。
5. CVE-2025-2783：Windows平台Mojo组件在特定场景下存在句柄处理错误漏洞，由卡巴斯基研究员鲍里斯・拉林（@oct0xor）和伊戈尔・库兹涅佐夫（@2igosha）于2025年3月20日报告。谷歌针对Windows版Chrome浏览器发布了紧急更新以修复该高危漏洞，该漏洞曾被用于针对俄罗斯境内机构的攻击活动。
6. CVE-2025-6554：V8 JavaScript及WebAssembly引擎中的类型混淆漏洞。

部分信息来源网络，如有侵权请联系删除