谷歌已为其Chrome浏览器发布紧急更新,以修复黑客在实际攻击中利用的严重安全漏洞。
该漏洞被标识为CVE-2025-6554,是Chrome V8 JavaScript引擎中的“类型混淆”问题。该引擎负责浏览器处理网页内容的方式,漏洞被评为“高”严重性。该漏洞于2025年6月25日被发现,并由Clément Lecigne报告。谷歌威胁分析小组(TAG)。
“谷歌意识到CVE-2025-6554的漏洞在野外被利用,”公司在安全公告中写道。该漏洞可能允许攻击者通过诱使用户访问恶意网站来操控Chrome的内存。根据国家漏洞数据库,这意味着远程攻击者可以通过精心制作的HTML页面“执行任意读/写操作”。
安全研究人员警告说,这类漏洞经常被用来植入间谍软件或秘密执行恶意代码,特别是在有针对性的入侵中。鉴于TAG是发现此漏洞的团队,这引发了人们的担忧,即该漏洞可能是高级攻击的一部分,可能由政府支持的黑客策划。
您现在应该做什么
为了防范这一威胁,谷歌建议所有Chrome用户立即更新他们的浏览器。修补后的版本是Windows的138.0.7204.96/.97,Mac的138.0.7204.92/.93,以及Linux的138.0.7204.96。
用户可以通过点击Chrome右上角的三点菜单,导航到设置,然后关于Chrome,手动确认他们的版本并开始更新过程。如果有更新可用,Chrome将自动下载。重启浏览器后,补丁将被应用。任何使用基于Chromium的浏览器如Edge、Brave和Opera的用户也应注意更新,并在发布后尽快应用。
2025年Chrome的零日漏洞总数
这次最新事件标志着今年Chrome中第四个被积极利用的零日漏洞被修复。此前还有三个安全漏洞:3月披露的CVE-2025-2783,5月修补的CVE-2025-4664,以及6月解决的CVE-2025-5419。每个漏洞都被认为是关键的,并通过紧急更新修补。