聚焦源代码安全,网罗国内外最新资讯!
CVE-2025-10585 是位于谷歌 JavaScript 和 WebAssembley 核心引擎V8 中的一个类型混淆漏洞,由谷歌威胁分析团队 (TAG) 报送。该漏洞可导致攻击者以多种方式操纵内存,仅通过诱骗用户访问恶意网页即可导致任意代码执行后果。谷歌证实称,已发现该漏洞遭在野利用,因此需紧急打补丁。
CVE-2025-10500位于支撑WebGPU 的图形抽象层 Dawn 中,由 Giunash (Gyujeong Jin) 报送,属于释放后使用漏洞。当内存在释放后被不当处理时就会触发该漏洞,可导致浏览器崩溃或者在最糟糕情况下可导致任意代码执行。谷歌颁发1.5万美元的赏金。
CVE-2025-10501是位于 WebRTC 技术中,由 Sherkito 报送,也属于释放后使用漏洞。鉴于 WebRTC 在在线通信中发挥的重大作用,利用该漏洞可导致攻击者攻陷实时会话或导致通信服务崩溃。谷歌为此颁发1万美元的赏金。
CVE-2025-10502 是位于改进图形API 如 OpenGL 和 Direct3D 兼容性的图形引擎翻译层 ANGLE 中的堆缓冲溢出漏洞。该漏洞由谷歌 Big Sleep 发现,可导致内存损坏甚至远程代码执行后果。虽然该漏洞的详情尚未发布,但堆缓冲溢出漏洞通常被认为是高度可利用的,尤其是在渲染上下文中更是如此。
https://securityonline.info/chrome-emergency-update-zero-day-cve-2025-10585-in-v8-exploited-in-the-wild/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~