Google 本周面向 Chrome 浏览器用户发布了紧急安全更新,修复了一个已被攻击者积极利用的零日漏洞。该漏洞编号为 CVE-2025-10585,存在于 Chromium 项目的 V8 JavaScript 引擎中,属严重的类型混淆缺陷。安全研究人员警告,攻击者可通过诱导用户访问精心构造的恶意网页来触发漏洞,全球受影响的设备数以亿计。
漏洞详情
V8 引擎是 Chrome 浏览器处理 JavaScript 代码的核心组件。类型混淆漏洞发生在引擎执行内存操作时,由于未能正确验证对象的实际类型,导致程序错误地访问或修改内存区域。攻击者利用这一漏洞后,能够在浏览器沙箱内执行任意代码,进而可能发起进一步攻击。
据安全研究社区公开的信息,CVE-2025-10585 是在野外攻击中被发现的,意味着已有真实攻击案例。Google 安全团队在获悉后迅速启动应急流程,并在短时间内完成修复补丁的开发和测试。由于漏洞影响面极广,Google 选择通过自动更新方式向所有用户推送修复。
修复与防护
用户无需手动操作即可获得更新,Chrome 浏览器在后台会自动检测并安装最新版本。为确保设备安全,建议用户检查浏览器的“关于 Google Chrome”页面,确保版本号已升级至包含修复的版本。对于使用基于 Chromium 的其他浏览器(如 Microsoft Edge、Brave 等),相关厂商也已同步跟进修复。
此次漏洞再次暴露出 JavaScript 引擎作为浏览器安全基石的复杂性。尽管 Chrome 采用了多层沙箱隔离机制,但 V8 引擎级别的类型混淆仍可能突破部分防御,因此及时安装安全补丁仍是目前最有效的防护手段。
本文参考来源:OSCHINA 社区最新新闻
微信扫描下方的二维码阅读本文
