谷歌发布了针对Chrome浏览器中一个已被野外利用的零日漏洞的安全更新，该漏洞为V8 JavaScript与WebAssembly引擎中的类型混淆缺陷。该漏洞允许远程攻击者通过特制HTML页面执行任意内存读写操作，可能被用于执行任意代码或导致程序崩溃。漏洞由谷歌威胁分析小组发现并报告，表明可能已被用于高度定向的攻击。谷歌已通过配置更新缓解该问题，并建议用户立即更新浏览器至最新版本，特别是处理敏感数据的用户。这是谷歌2025年修复的第四个Chrome零日漏洞。

⚠️ 谷歌发布了针对Chrome浏览器中一个已被野外利用的零日漏洞（CVE-2025-6554）的安全更新。该漏洞是V8 JavaScript与WebAssembly引擎中的类型混淆缺陷。

💥 该漏洞允许远程攻击者通过特制HTML页面执行任意内存读写操作，可能导致任意代码执行或程序崩溃。漏洞被谷歌威胁分析小组（TAG）发现，暗示可能已被用于高度定向的攻击。

🛡️ 谷歌已通过配置更新缓解该问题，并建议用户立即更新Chrome浏览器。Windows/macOS用户应升级至138.0.7204.96/.97版本，Linux用户升级至138.0.7204.96版本。其他基于Chromium的浏览器用户也应及时更新。

🔍 谷歌未透露漏洞利用细节，但确认CVE-2025-6554的野外利用已存在。这是谷歌2025年修复的第四个Chrome零日漏洞。建议用户定期检查并更新浏览器，以确保安全。

💡 企业/IT团队需启用自动补丁管理，监控终端浏览器版本合规性。用户可通过Chrome设置 → 帮助 → 关于Google Chrome进行更新。

HackerNews 编译，转载请注明出处：

谷歌已发布安全更新，修复其Chrome浏览器中一个已被野外利用的零日漏洞（CVE-2025-6554，CVSS评分暂缺）。该漏洞被描述为V8 JavaScript与WebAssembly引擎中的类型混淆缺陷。

根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）的说明：”Chrome 138.0.7204.96之前版本中，V8引擎的类型混淆漏洞允许远程攻击者通过特制HTML页面执行任意内存读写操作。”

类型混淆漏洞危害严重，可能被利用触发软件异常行为，导致任意代码执行或程序崩溃。此类零日漏洞风险极高，因其常在补丁发布前就被攻击者武器化。实际攻击中，黑客可能通过诱导用户访问恶意网站，悄无声息地安装间谍软件、发起偷渡式下载或植入恶意代码。

该漏洞由谷歌威胁分析小组（TAG）的Clément Lecigne于2025年6月25日发现并报告。TAG通常负责追踪国家级攻击或监控行动，此次披露暗示漏洞可能已被用于高度定向的攻击，涉及政府支持的黑客或间谍活动。

谷歌表示，漏洞在次日（6月26日）已通过配置更新缓解，并推送至全平台稳定版通道。普通用户虽暂未面临大规模威胁，但立即更新补丁至关重要，尤其针对处理敏感数据的高价值目标。

尽管谷歌未透露漏洞利用细节及攻击者信息，但确认”CVE-2025-6554的野外利用已存在”。这是谷歌2025年修复的第四个Chrome零日漏洞，此前三个分别为CVE-2025-2783、CVE-2025-4664和CVE-2025-5419（其中CVE-2025-4664是否遭恶意利用尚不明确）。

用户防护建议：
1. 立即升级Chrome至以下版本：
Windows/macOS: 138.0.7204.96/.97
Linux: 138.0.7204.96
2. 检查更新路径：Chrome设置 → 帮助 → 关于Google Chrome（浏览器将自动检测并安装最新版本）。
3. 企业/IT团队需启用自动补丁管理，监控终端浏览器版本合规性。
4. 其他基于Chromium的浏览器（Edge、Brave、Opera、Vivaldi等）用户需等待厂商发布修复补丁后及时更新。

（注：谷歌通常会在漏洞被完全修复后公开更多技术细节，建议持续关注官方安全公告。）

 

---

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文