谷歌已为其Chrome网页浏览器发布紧急安全更新,以修复一个正被野外积极利用的高严重性零日漏洞。
强烈建议用户立即更新浏览器,以防范潜在攻击。这一被标记为CVE-2025-10585的漏洞,是今年在Chrome中发现并修复的一系列零日漏洞中的最新一个。
Windows和Mac的新稳定版频道版本已更新至140.0.7339.185/.186,Linux的新稳定版频道版本已更新至140.0.7339.185。
谷歌表示,此次更新将在未来几天和几周内逐步向所有用户推出。为缓解当前威胁,用户应手动触发更新流程以确保自身得到保护。
被利用的零日漏洞
被积极利用的漏洞CVE-2025-10585是V8 JavaScript和WebAssembly引擎中的一个类型混淆缺陷。
类型混淆漏洞发生在程序使用一种类型分配资源或对象,但之后用另一种不兼容的类型访问它时。这可能导致逻辑错误、内存损坏,并最终导致任意代码执行。
成功的漏洞利用可能会让远程攻击者通过诱骗用户访问一个特制的恶意网页,从而突破浏览器的安全沙箱。
该漏洞由谷歌旗下的威胁分析小组(TAG)于2025年9月16日报告,该小组通常会发现复杂威胁行为者在定向攻击中使用的零日漏洞。
其他漏洞
除了这个零日漏洞外,此次安全更新还修复了外部安全研究人员发现的另外三个高严重性漏洞。
第一个是CVE-2025-10500,这是图形抽象层Dawn中的一个释放后使用漏洞。第二个是CVE-2025-10501,同样是一个释放后使用漏洞,存在于支持实时通信的WebRTC组件中。
第三个漏洞CVE-2025-10502是图形引擎转换层ANGLE中的堆缓冲区溢出漏洞。释放后使用和堆溢出漏洞也可能导致内存损坏和任意代码执行。
谷歌已为发现其中两个漏洞分别颁发了15,000美元和10,000美元的漏洞赏金。
鉴于已确认存在主动利用情况,未打补丁的系统面临重大风险。建议所有使用Windows、macOS和Linux系统的谷歌Chrome用户立即将浏览器更新至最新版本。
要查看您的Chrome版本并应用更新,请导航至“帮助”菜单,然后选择“关于Google Chrome”。浏览器会自动检查并下载最新更新,之后需要重启以应用补丁。
谷歌目前正限制对与CVE-2025-10585相关的漏洞详情和链接的访问,以防止进一步滥用,同时该补丁正逐步推送给其大部分用户群体。
2025年,谷歌修复了其Chrome浏览器中多个被积极利用的零日漏洞,要求用户及时更新软件以保持安全防护。
2025年已公开披露并修复的Chrome零日漏洞:
| CVE ID | 漏洞类型 | 描述 | 野外被利用情况 |
|---|---|---|---|
| CVE-2025-10585 | 类型混淆 | V8 JavaScript引擎中存在一个类型混淆漏洞,该漏洞可通过恶意网页被利用。 | 是 |
| CVE-2025-6558 | 输入验证不当 | ANGLE和GPU组件中对不可信输入的验证不足,使得远程攻击者能够实施沙箱逃逸。 | 是 |
| CVE-2025-6554 | 类型混淆 | V8 JavaScript和WebAssembly引擎中存在类型混淆漏洞,这可能允许攻击者执行任意的读/写操作。 | 是 |
| CVE-2025-5419 | 越界访问 | V8引擎中存在一个越界读写漏洞,通过访问精心设计的网页可能导致内存损坏。 | 是 |
| CVE-2025-2783 | 沙箱绕过 | 一个允许绕过Chrome沙箱保护的严重漏洞。 | 是 |
| CVE-2025-4664 | 政策执行不足 | 谷歌已将此漏洞作为零日漏洞进行处理,但目前尚不清楚该漏洞是否曾被用于恶意攻击。 |
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
