Chrome 紧急更新:V8 引擎零日漏洞 (CVE-2025-10585) 已被野外利用
Google已针对Windows和Mac系统发布140.0.7339.185/.186版本,Linux系统发布140.0.7339.185版本的稳定通道更新,修复了四个高危安全漏洞。其中最值得关注的是CVE-2025-10585——Chrome V8 JavaScript引擎中的一个漏洞,目前已在野外被实际利用。
最紧急的修复针对V8(Chrome核心JavaScript和WebAssembly引擎)中的类型混淆错误。该漏洞由Google威胁分析小组(TAG)报告,攻击者只需诱使用户访问恶意网页,就能通过操纵内存实现任意代码执行。Google确认:"已知CVE-2025-10585漏洞的野外利用程序存在",强调了立即打补丁的必要性。
CVE-2025-10500:Dawn组件释放后使用漏洞第二个漏洞CVE-2025-10500存在于Dawn(WebGPU底层的图形抽象层)中。该漏洞由Giunash(Gyujeong Jin)报告,属于释放后使用(use-after-free)问题,可能导致浏览器崩溃或被利用执行任意代码。Google为此漏洞发现支付了5,000美元赏金。
CVE-2025-10501:WebRTC释放后使用漏洞第三个漏洞CVE-2025-10501影响WebRTC(浏览器实时音视频和数据共享技术)。同样属于释放后使用漏洞,考虑到WebRTC在在线通信中的作用,攻击者可能借此破坏实时会话或使通信服务崩溃。Google为此报告支付了10,000美元奖励。
CVE-2025-10502:ANGLE堆缓冲区溢出漏洞最后一个漏洞CVE-2025-10502涉及ANGLE(用于提升OpenGL和Direct3D等图形API兼容性的图形引擎转换层)中的堆缓冲区溢出问题。该漏洞可能导致内存损坏和潜在的远程代码执行。虽然细节受限,但堆缓冲区溢出在渲染环境中通常被认为具有高度可利用性。
THE END
