谷歌已发布紧急安全更新,用于修复一个 Chrome 零日漏洞。这是自今年年初以来,第六个已确认在攻击中被利用的漏洞。
虽然谷歌并未明确说明该漏洞是否仍在野外被积极利用,但公司警告称,漏洞已存在公开的利用程序,这通常意味着漏洞正在被利用。
谷歌在周三发布的安全公告中表示:
“谷歌已知 CVE-2025-10585 在野外存在利用代码。”
这一高危零日漏洞源于 V8 JavaScript 引擎中的类型混淆(type confusion) 弱点,由谷歌威胁分析小组(TAG)于周二报告。
谷歌 TAG 经常揭露政府支持的威胁行为者在间谍软件行动中利用零日漏洞的情况,这类行动通常针对高风险人群,包括但不限于反对派政治人物、异议人士和记者。
谷歌在接到报告一天后,迅速发布了安全更新:
- Windows/Mac:140.0.7339.185 / .186
- Linux:140.0.7339.185
这些版本将在未来几周内推送至 Chrome 稳定桌面渠道。
虽然 Chrome 会在新补丁可用时自动更新,但用户也可以手动加速更新:进入 Chrome 菜单 > 帮助 > 关于 Google Chrome,等待更新完成后点击 “重新启动” 按钮即可立即安装补丁。
尽管谷歌已确认 CVE-2025-10585 在攻击中被利用,但尚未公布更多关于野外利用的细节。
谷歌表示:
“在大多数用户完成更新之前,漏洞细节和相关链接将会保持限制。若该漏洞存在于第三方库且尚未被修复,我们也会继续保留限制。”
这已经是谷歌今年修复的第六个被积极利用的 Chrome 零日漏洞,此前五个分别在 3 月、5 月、6 月和 7 月被修复。
- 7 月:谷歌修复了另一个零日漏洞(CVE-2025-6558),由 TAG 研究人员发现,攻击者可利用该漏洞逃逸浏览器沙箱。
- 5 月:谷歌发布紧急更新,修复了可被攻击者用来劫持账户的零日漏洞(CVE-2025-4664),并修复了 V8 引擎中的越界读写漏洞(CVE-2025-5419),该漏洞同样由 TAG 发现。
- 3 月:谷歌修复了由卡巴斯基报告的一个严重沙箱逃逸漏洞(CVE-2025-2783),该漏洞被用于针对政府机构和媒体的间谍活动。
去年,谷歌还修复了 10 个零日漏洞,其中一些在 Pwn2Own 黑客大赛上被演示,另一些则已在攻击中被利用。
发表评论
您还未登录,请先登录。
登录