在确认攻击者正在积极利用一个关键的零日漏洞后,Google 发布了 Chrome 的紧急安全更新。
该漏洞被跟踪为 CVE-2025-5419,允许威胁行为者通过 Chrome V8 JavaScript 引擎中的越界读写作在受害者的系统上执行任意代码。
这家科技巨头为 Windows 和 Mac 用户推出了 Chrome 137.0.7151.68/.69 版本,为 Linux 系统推出了 137.0.7151.68 版本,该更新将在未来几天和几周内在全球范围内推出。
Google 已明确表示“CVE-2025-5419 的漏洞正在广泛存在”,将其标记为需要用户立即关注的高优先级安全问题。
Chrome 0 Day 漏洞被利用
CVE-2025-5419 由 Google 威胁分析小组的 Clement Lecigne 和 Benoît Sevens 于 2025 年 5 月 27 日发现并报告。该漏洞源于 V8 中的内存损坏问题,V8 是 Chrome 的 JavaScript 和 WebAssembly 引擎,用于处理来自网站和 Web 应用程序的代码。
越界内存访问漏洞特别危险,因为它们可能允许攻击者读取敏感数据或将恶意代码写入系统内存。
认识到威胁的严重性后,Google 于 2025 年 5 月 28 日实施了紧急缓解措施,在所有 Chrome 平台上推送配置更改,以帮助在完整补丁可用之前保护用户。
这种快速响应表明了该漏洞的严重性及其对全球 Chrome 用户构成的积极威胁。
此安全更新还解决了第二个漏洞 CVE-2025-5068,这是 Chrome 的渲染引擎 Blink 中的一个释放后使用缺陷。安全研究人员 Walkman 于 2025 年 4 月 7 日报告了这个中等严重性漏洞,并提供了 1,000 美元的赏金。
虽然没有零日漏洞那么严重,但释放后使用漏洞仍可能导致内存损坏和潜在的代码执行。
Google 一直保持其政策,即在大多数用户更新其浏览器之前限制访问详细的漏洞信息。
这种方法可以防止恶意行为者对补丁进行逆向工程以开发新的漏洞,而用户仍然使用易受攻击的版本。
该公司认为,其全面的安全测试基础设施能够在许多漏洞达到稳定版本之前检测到它们。
Google 采用高级工具(包括 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 和 AFL)来识别开发过程中的潜在安全问题。
Chrome 用户应立即通过导航到“设置”>“关于 Chrome”来更新他们的浏览器,这将自动下载并安装最新版本。
鉴于 CVE-2025-5419 已被积极利用,强烈建议用户将此更新视为紧急更新。用户可以验证其 Chrome 版本是否与 137.0.7151.68 或更高版本匹配,以确保免受这些漏洞的影响。
组织应优先在其网络中部署此更新,以防止通过针对零日漏洞的恶意网站进行潜在入侵。
发表评论
您还未登录,请先登录。
登录