漏洞描述
CVE-2025-6554 是 Google Chrome 浏览器中 V8 引擎存在的类型混淆漏洞。在版本 138.0.7204.96 之前的 Google Chrome 浏览器中,远程攻击者可以通过制作恶意的 HTML 页面执行任意读写操作。
漏洞影响版本
Google Chrome 浏览器版本低于 138.0.7204.96。
漏洞技术细节
CVE-2025-6554 是 V8 JavaScript 和 WebAssembly 引擎中的类型混淆漏洞。类型混淆漏洞可能导致严重的后果,因为它们可以被利用来触发意外的软件行为,从而导致任意代码执行和程序崩溃。
漏洞影响面评估
该漏洞是一个零日漏洞,这意味着攻击者在修复程序可用之前就开始利用它。在实际攻击中,这些漏洞可能允许黑客安装间谍软件、启动驱动器下载或悄悄运行有害代码,有时只需让用户打开恶意网站即可。
Google 的威胁分析小组 (TAG) 的 Clément Lecigne 于 2025 年 6 月 25 日发现了该漏洞并报告,这表明它可能已被用于高度针对性的攻击,可能涉及国家支持的攻击者或监视行动。TAG 通常会检测和调查政府支持的攻击等严重威胁。
Google 还指出,该问题已于第二天通过配置更改得到缓解,该更改已推送到所有平台的稳定版通道。对于普通用户而言,这意味着威胁可能尚未广泛传播,但仍然需要紧急修补,特别是如果您处理敏感或高价值数据。
CVE-2025-6554 是 Google 自今年年初以来解决的第四个 Chrome 零日漏洞,此前还有 CVE-2025-2783、CVE-2025-4664 和 CVE-2025-5419。然而,值得注意的是,目前尚不清楚 CVE-2025-4664 是否已被恶意利用。
漏洞修复建议
为了防范潜在威胁,建议将 Chrome 浏览器更新到 Windows 版本的 138.0.7204.96/.97、macOS 版本的 138.0.7204.92/.93 和 Linux 版本的 138.0.7204.96。
如果您不确定浏览器是否已更新,请转到“设置”>“帮助”>“关于 Google Chrome”——它应该会自动触发最新更新。对于管理多个端点的企业和 IT 团队,启用自动补丁管理和监控浏览器版本合规性至关重要。
还建议 Microsoft Edge、Brave、Opera 和 Vivaldi 等其他基于 Chromium 的浏览器用户在修复程序可用时立即应用修复程序。