美国网络安全与基础设施安全局(CISA)已就谷歌浏览器中一个正被积极利用于攻击的高严重性零日漏洞发出警告。
这一编号为CVE-2025-10585的漏洞已被添加至美国网络安全与基础设施安全局(CISA)的已知被利用漏洞(KEV)目录,这表明用户和管理员亟需采取行动。
谷歌已证实其知晓该漏洞的一个利用程序在野外存在,并已发布安全更新来应对这一威胁。
了解V8类型混淆漏洞
该漏洞是Chrome的V8 JavaScript和WebAssembly引擎中的一种类型混淆缺陷。类型混淆漏洞(CWE-843)会在程序尝试访问具有不兼容类型的资源时出现,导致程序对数据产生误判。
这可能导致内存损坏,攻击者可利用此漏洞使浏览器崩溃,更严重的是,还能在受影响的系统上执行任意代码。
这个漏洞是由谷歌自己的威胁分析小组(TAG)于2025年9月16日发现并报告的。
虽然谷歌尚未披露有关具体攻击或所涉威胁行为者的技术细节,但这是一种标准做法,目的是在用户有机会应用必要的补丁之前,防止更广泛的利用。
这是2025年被积极利用的第六个Chrome零日漏洞,凸显了攻击者针对浏览器漏洞的持续趋势。
2025年,谷歌修复了其Chrome浏览器中多个被野外主动利用的零日漏洞。这些缺陷需要紧急更新以保护用户免受潜在攻击。
下表详细列出了今年全年发现并修复的Chrome零日漏洞。
| CVE ID | 漏洞类型 | 描述 | 野外被利用 |
|---|---|---|---|
| CVE-2025-10585 | 类型混淆 | V8 JavaScript引擎中存在一个类型混淆漏洞,该漏洞可通过恶意网页被利用。 | 是 |
| CVE-2025-6558 | 输入验证不当 | ANGLE和GPU组件中对不可信输入的验证不足,使得远程攻击者能够执行沙箱逃逸。 | 是 |
| CVE-2025-6554 | 类型混淆 | V8 JavaScript和WebAssembly引擎中存在一个类型混淆漏洞,这可能允许攻击者执行任意的读/写操作。 | 是 |
| CVE-2025-5419 | 越界访问 | V8引擎中存在一个越界读写漏洞,通过访问精心设计的网页可能导致内存损坏。 | 是 |
| CVE-2025-2783 | 沙箱绕过 | 一个严重的漏洞,可绕过Chrome的沙箱保护。 | 是 |
| CVE-2025-4664 | 政策执行不足 | 谷歌已将此漏洞作为零日漏洞进行修复,但目前尚不清楚它是否在恶意攻击中被实际利用。 | ANGLE和GPU组件中对不可信输入的验证不足,使得远程攻击者能够实施沙箱逃逸。 |
CISA指令及建议措施
针对这一被积极利用的情况,美国网络安全与基础设施安全局(CISA)已根据《具有约束力的操作指令》(BOD)22-01,指示联邦民事行政部门(FCEB)各机构在2025年10月14日前应用必要的安全更新。
虽然该指令对联邦机构具有强制性,但网络安全与基础设施安全局(CISA)强烈敦促所有组织和个人用户优先为其系统打补丁,以防范潜在攻击。
为了缓解该漏洞,用户应将其Chrome浏览器更新至最新版本:
- Windows和macOS:140.0.7339.185/.186
- Linux:140.0.7339.185
用户可以通过以下方式启动更新:打开Chrome的菜单,选择“帮助”,然后选择“关于Google Chrome”,这将触发自动检查并安装最新版本。
其他基于Chromium的浏览器(如微软Edge、Brave、Opera和Vivaldi)的用户也建议在各自供应商发布安全更新后尽快安装。
强烈建议启用自动更新,以确保能及时防范未来的威胁。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
