Google 近日发布安全更新，修复了一个已被Chrome零日漏洞（CVE-2025-6554）。该漏洞由 Google 威胁分析小组（TAG）于上周发现并上报。

Google 在公告中表示：“我们已知 CVE-2025-6554 漏洞正在被利用于实际攻击中。”

关于 CVE-2025-6554
该漏洞为V8引擎中的类型混淆漏洞。V8 是 Chrome 及其他 Chromium 内核浏览器中负责 JavaScript 与 WebAssembly 执行的核心引擎。

远程未认证攻击者可通过诱导受害者访问恶意构造的 HTML 页面，触发漏洞，进而执行任意读写操作。在某些情况下，攻击者可进一步实现远程代码执行（RCE）。

按照 Google 一贯做法，漏洞细节暂未公开，待补丁广泛部署后再行披露。但由于该漏洞由 Google TAG 安全研究员 Clément Lecigne 发现，业内普遍推测该漏洞可能被用于国家级背景的定向攻击中。

例如，2024年8月修复的一起 V8 零日漏洞，后被披露是朝鲜 APT 组织针对加密货币行业发动攻击所使用的。

该漏洞于 2025年6月25日被研究人员上报。次日，Google 已在全平台的 Chrome 稳定版本中推送配置变更以作为临时缓解措施。

目前，漏洞已被正式修复，受影响版本如下：

• Windows 平台：Chrome v138.0.7204.96/.97

• Mac 平台：Chrome v138.0.7204.92/.93

• Linux 平台：Chrome v138.0.7204.96

由于该漏洞正在被在野利用，Google 强烈建议用户尽快完成更新。

用户可根据操作系统和自动更新设置，通过手动检查更新或重启浏览器来完成修复。

其他基于 Chromium 的浏览器，如 Microsoft Edge、Brave、Opera、Vivaldi 的安全更新仍在跟进中，建议用户保持关注。