Chrome 再次遭遇重创：谷歌将于 2025 年修复第四个零日漏洞

谷歌周一发布了 Chrome 的紧急安全更新，以解决影响全球 Windows 和 Mac 用户的零日漏洞。这是自 2025 年初以来修复的第四个 Chrome 零日漏洞。

该零日漏洞的编号为 CVE-2025-6554，被描述为 Chrome V8 JavaScript 和 WebAssembly 引擎中的一个高严重性“类型混淆”漏洞。

谷歌威胁分析小组 (TAG) 的安全研究员 Clement Lecigne 于 2025 年 6 月 25 日标记了该零日漏洞，并因发现并报告该漏洞而受到赞誉。 TAG 以发现与民族国家行为者相关的复杂攻击而闻名。

漏洞是什么？

当浏览器对其正在处理的数据类型感到困惑时，Chrome 的 JavaScript 引擎 V8 中就会出现类型混淆缺陷。它可能会导致 Chrome 误解内存，为任意读/写打开大门，在某些情况下，甚至会导致完全远程代码执行 (RCE)。

这个错误可能会让黑客访问他们不应该访问的内存部分，这可能会让他们运行有害代码或使浏览器崩溃。

“谷歌意识到 CVE-2025-6554 的漏洞存在，”这家科技巨头在一份声明中表示。安全咨询周一发布。

根据国家漏洞数据库 (NVD) 的数据，该缺陷影响 138.0.7204.96 之前的 Chrome 版本，并可能允许攻击者运行恶意代码或导致应用程序崩溃。

参见：黑客利用 Microsoft 365 功能发送网络钓鱼电子邮件

缓解措施

谷歌部署一个临时的2025年6月26日，通过Chrome的稳定通道在服务器端进行缓解，修复零日漏洞。该公司已在稳定桌面通道中为 Chrome 用户推出了完整补丁：Windows (138.0.7204.96/.97)、Mac (138.0.7204.92/.93) 和 Linux 用户 (138.0.7204.96)。

谷歌表示：“在大多数用户更新修复程序之前，对错误详细信息和链接的访问可能会受到限制。如果该错误存在于其他项目类似依赖的第三方库中，但尚未修复，我们也将保留限制。”

谷歌尚未透露有关攻击背后的利用或威胁行为者的详细信息。由于该漏洞正在被广泛利用，因此强烈建议用户尽快应用安全补丁，以保护其设备和自身免受重大安全风险。

虽然 Chrome 的自动更新最终会安装修复程序，但您也可以通过转到“设置”>“帮助”>“关于 Google Chrome”来手动更新 Chrome。

为什么这是第四次？

 2025 年 Chrome 中先前修补的零日漏洞包括CVE20252783（三月）：Windows 上的 Mojo 在未指定的情况下提供了错误的句柄；CVE20254664（5 月）：Loader 中的策略执行不足；和CVE20255419（六月）：V8 中读写越界。

随着 CVE20256554 现已修补，这标志着短短七个月内解决的第四个活跃的零日漏洞。