CNVD 2025-07-21 08:45 上海
安小圈
🗂️ **漏洞概述与高危评级**:CNVD收录了Google Chrome V8类型混淆漏洞(CNVD-2025-14800,CVE-2025-6554)。该漏洞因Chrome浏览器V8 JavaScript引擎在处理JS代码时,对某些数据类型的边界检查和类型转换处理不当,导致无法正确区分不同类型的内存数据。攻击者可利用此漏洞通过精心构造的恶意HTML页面,诱导用户访问触发,实现远程任意读写操作,并最终达到远程代码执行的目的。CNVD对此漏洞的综合评级为“高危”。
🎯 **攻击方式与影响**:攻击者能够通过诱骗用户访问一个包含特定JavaScript表达式的恶意网页,来触发此漏洞。一旦漏洞被成功利用,未经授权的攻击者便可以对目标主机执行任意的读写操作,这意味着攻击者可能能够读取敏感信息或修改系统文件,并进一步实现完全控制目标主机的远程代码执行。
💻 **受影响版本与修复建议**:此漏洞主要影响Google Chrome版本低于138.0.7204.96的Windows版、低于138.0.7204.96的Linux版以及低于138.0.7204.92的Mac版。基于Chromium内核开发的浏览器如Microsoft Edge、Brave、Opera和Vivaldi等也可能受到影响,其安全更新正在开发中。CNVD强烈建议所有受影响的用户立即将Google Chrome浏览器升级至最新版本,并提高警惕,谨慎访问来源不明的网页链接或文件,以确保安全。
🚀 **谷歌已发布补丁**:谷歌公司已经认识到该漏洞的严重性,并已紧急发布了新版本来修复此漏洞。具体而言,Windows用户应升级到Chrome v138.0.7204.96/.97,Linux用户升级到v138.0.7204.96,Mac用户升级到v138.0.7204.92/.93。及时更新是抵御此类网络攻击最有效的手段之一。
CNVD 2025-07-21 08:45 上海
安小圈
安全公告编号:CNTA-2025-0010
2025年7月2日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome V8类型混淆漏洞(CNVD-2025-14800,对应CVE-2025-6554)。攻击者利用该漏洞,可通过诱骗用户访问恶意页面,实现远程代码执行攻击。目前,谷歌公司表示该漏洞已发现在野利用,并发布Chrome新版本。CNVD建议受影响的单位和用户立即升级至最新版本。
安全公告编号:CNTA-2025-0010
2025年7月2日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome V8类型混淆漏洞(CNVD-2025-14800,对应CVE-2025-6554)。攻击者利用该漏洞,可通过诱骗用户访问恶意页面,实现远程代码执行攻击。目前,谷歌公司表示该漏洞已发现在野利用,并发布Chrome新版本。CNVD建议受影响的单位和用户立即升级至最新版本。
一、漏洞情况分析
Google Chrome是一款由谷歌公司开发的网页浏览器,该浏览器基于WebKit、Mozilla等开源软件开发,具有较好的性能、出色的兼容性和丰富的扩展程序,得到了广泛使用。
2025年7月2日,国家信息安全漏洞共享平台(CNVD)收录了Google Chrome V8类型混淆漏洞。由于Chrome浏览器V8 JavaScript(JS)引擎在处理JS代码时,对某些数据类型的边界检查和类型转换处理不当,导致浏览器无法正确区分不同类型的内存数据。攻击者通过精心构造包含特定JS表达式的恶意Html页面,并诱骗用户点击访问来触发此漏洞。未经授权的攻击者利用该漏洞,可远程对目标主机执行任意读写操作,并进一步实现远程代码执行攻击。
CNVD对该漏洞的综合评级为“高危”。
二、漏洞影响范围
漏洞影响的产品和版本包括:
Google Chrome < 138.0.7204.96
基于Chromium内核开发的浏览器
三、漏洞处置建议
谷歌公司已紧急发布新版本修复该漏洞,各平台Chrome的修复版本情况如下:
1)Windows版:Chrome v138.0.7204.96/.97
2)Linux版:Chrome v138.0.7204.96
3)Mac版:Chrome v138.0.7204.92/.93
Microsoft Edge、Brave、Opera和Vivaldi等基于Chromium内核开发浏览器的安全更新仍在开发中。
CNVD建议受影响的单位和用户立即将Chrome升级至最新版本,同时在使用Chrome时做好安全防范措施,谨慎访问来源不明的网页链接或文件。
参考链接:
https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html
https://issues.chromium.org/issues/427663123
2025HVV【技战法】丨0Day漏洞专项篇
护网—2025|严守视频会议“安全门”,谨防信息泄露“一瞬间”
疑似国内护网红队攻击样本被捕获并深度分析
蓝队快速识别隐藏恶意文件的 20个文件特征及查找方法总结【新!】CNNVD通报微软多个安全漏洞
2025-07-11 HW情报分享
【HVV】护网—2025 | 网警公布适用《网络数据安全管理条例》典型案例
微软紧急修复高危蠕虫级RCE漏洞,威胁全网Windows系统
【HVV】护网系列 威胁情报共享7.8
【HVV】护网系列 威胁情报共享7.7
25HVV最新0day更新,各单位自查...
【HW】8个因护网被开除的网安人
HW应急溯源:50个高级命令实战指南
震惊全球!中国团队攻破RSA加密!RSA加密告急?
突发!小红书惊现后门......
2025年“净网”“护网”专项工作部署会在京召开,看看都说了哪些与你我相关的关键内容?
护网在即,企业还有什么新思路可以应对吗?
HW必备:50个应急响应常用命令速查手册二(实战收藏)
DeepSeek安全:AI网络安全评估与防护策略
虚拟机逃逸!VMware【高危漏洞】正被积极利用,国内公网暴露面最大
挖矿病毒【应急响应】处置手册
用Deepseek实现Web渗透自动化
【风险】DeepSeek等大模型私有化服务器部署近九成在“裸奔”,已知漏洞赶紧处理!
关于各大网安厂商推广「DeepSeek一体机」现象的深度分析
Deepseek真的能搞定【安全运营】?
【热点】哪些网络安全厂商接入了DeepSeek?
【2025】常见的网络安全服务大全(汇总详解)
AI 安全 |《人工智能安全标准体系(V1.0)》(征求意见稿),附下载
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑