聚焦源代码安全,网罗国内外最新资讯!
谷歌提醒称,“谷歌发现 CVE-2025-6554已出现在野利用。” CVE-2025-6554是位于Chrome 渲染引擎核心的 JavaScript 引擎 V8 中的一个类型混淆漏洞,由谷歌威胁分析团队 (TAG) 的研究员 Clément Lecigne 在2025年6月25日发现,可导致远程攻击者诱骗浏览器错误解释内存类型,执行任意代码,这种方式常用于实现远程代码执行 (RCE) 后果。
0day漏洞,尤其是影响 Chrome 等浏览器的 0day漏洞是国家行动者的、高阶持续威胁 (APTs) 和受经济利益驱动的网络犯罪分子的主要目标。V8 中的类型混淆漏洞此前用于路过式下载攻击、沙箱逃逸和经由看似无害的网站传播恶意 payload。
该漏洞的补丁已在138.0.7204.96/.97(Windows)、138.0.7204.92/.93 (Mac) 和 138.0.7204.96 (Linux) 中发布,并将在未来几天和几周内推出。鉴于该漏洞的敏感性质及其潜在影响,完整详情将在大多数用户受到保护后发布。
https://securityonline.info/google-patches-actively-exploited-chrome-zero-day-cve-2025-6554/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~