近期,谷歌公司为其Chrome浏览器发布紧急更新修补了一处高危漏洞。攻击者利用该漏洞,可通过诱骗用户访问恶意页面,实现远程代码执行攻击。目前,谷歌公司表示该漏洞已发现在野利用,并发布Chrome新版本。建议受影响的单位和用户立即升级至最新版本。
漏洞描述
由于Chrome浏览器V8JavaScript(JS)引擎在处理JS代码时,对某些数据类型的边界检查和类型转换处理不当,导致浏览器无法正确区分不同类型的内存数据。攻击者通过精心构造包含特定JS表达式的恶意Html页面,并诱骗用户点击访问来触发此漏洞。未经授权的攻击者利用该漏洞,可远程对目标主机执行任意读写操作,并进一步实现远程代码执行攻击。
漏洞编号
CNVD-2025-14800
漏洞评级
高危
影响范围
漏洞影响的产品和版本包括:Google Chrome<138.0.7204.96基于Chromium内核开发的浏览器
安全建议
谷歌公司已紧急发布新版本修复该漏洞,各平台Chrome的修复版本情况如下:
1)Windows版:Chrome v138.0.7204.96/.97 2
2)Linux版:Chrome v138.0.7204.96 3
3)Mac版:Chrome v138.0.7204.92/.93
MicrosoftEdge、Brave、Opera和Vivaldi等基于Chromium内核开发浏览器的安全更新仍在开发中。
建议受影响的单位和用户立即将Chrome升级至最新版本,同时在使用Chrome时做好安全防范措施,谨慎访问来源不明的网页链接或文件。如发生相关网络安全事件,应及时上报。
传真:0371-67763770
邮箱:hercert@ha.edu.cn
邮编:450052
