Google Chrome 零日漏洞正遭野外活跃利用
谷歌发布紧急安全更新,以修补CVE-2025-10585。是存在于V8引擎和 WebAssembly 引擎的类型混淆漏洞。攻击者通过使用户访问特制的恶意网页,突破浏览器沙箱。在本次更新还修补了三个高危漏洞均在野活跃。及2025年披露的Chrome零日漏洞总览
零日漏洞遭利用
被积极利用的漏洞 CVE-2025-10585 是 V8 JavaScript 和 WebAssembly 引擎中的一个类型混淆缺陷。 当程序使用一种类型分配资源或对象,但随后以另一种不兼容的类型访问它时,就会发生类型混淆漏洞。这可能导致逻辑错误、内存损坏,并最终实现任意代码执行
攻击者可能通过诱使用户访问特制的恶意网页,成功利用该漏洞突破浏览器的安全沙箱。 该漏洞由谷歌威胁分析小组(TAG)于 2025 年 9 月 16 日报告,该小组经常发布复杂威胁行为的参与者在特定目标的攻击中所使用的零日漏洞。
其他漏洞
处理零日漏洞,本次安全更新还修复了由外部安全研究人员发现的三个高危漏洞
第一个漏洞 CVE-2025-10500 是图形抽象层 Dawn 中的释放后使用漏洞。第二个漏洞 CVE-2025-10501 同样是释放后使用缺陷,发现于实现实时通信的 WebRTC 组件中。 第三个漏洞 CVE-2025-10502 是 ANGLE 图形引擎转换层中的堆溢出。释放后重用和堆溢出漏洞同样可能导致内存损坏及任意代码执行。
谷歌已为其中两个漏洞的发现者分别发放了 15,000 美元和 10,000 美元的漏洞赏金。 鉴于已确认存在活跃攻击行为,未打补丁的系统面临重大风险。建议所有 Windows、macOS 和 Linux 平台的 Google Chrome 用户立即更新浏览器至最新版本。
2025年截至目前,已被披露及补丁的Chrome 零日漏洞如下:
| CVE ID | 漏洞类型 | 描述 | 在野利用 |
|---|---|---|---|
| CVE-2025-10585 | 类型混淆 | V8 JavaScript 引擎中存在一种类型混淆漏洞,攻击者可通过恶意网页加以利用 | Yes |
| CVE-2025-6558 | 输入验证不当 | ANGLE 和 GPU 组件对不可信输入的验证不足,可能导致远程攻击者实现沙箱逃逸。 | Yes |
| CVE-2025-6554 | 类型混淆 | V8 JavaScript 和 WebAssembly 引擎中存在类型混淆漏洞,攻击者可能利用此漏洞执行任意读写操作。 | Yes |
| CVE-2025-5419 | 越界访问 | V8 引擎中存在越界读写漏洞,访问恶意构造的网页可能导致内存损坏。 | Yes |
| CVE-2025-2783 | 沙箱逃逸 | 一个可绕过 Chrome 沙箱保护的关键漏洞 | Yes |
| CVE-2025-4664 | 政策执行不足 | 会造成跨源数据泄露,谷歌将该漏洞作为零日漏洞进行了处理,但尚不清楚其是否已被恶意攻击积极利用。 | Yes |
关于作者
评论0次