Chrome 再次遭遇重創：谷歌將於 2025 年修復第四個零日漏洞

谷歌週一發布了 Chrome 的緊急安全更新，以解決影響全球 Windows 和 Mac 用戶的零日漏洞。這是自 2025 年初以來修復的第四個 Chrome 零日漏洞。

該零日漏洞的編號為 CVE-2025-6554，被描述為 Chrome V8 JavaScript 和 WebAssembly 引擎中的一個高嚴重性“類型混淆”漏洞。

谷歌威脅分析小組 (TAG) 的安全研究員 Clement Lecigne 於 2025 年 6 月 25 日標記了該零日漏洞，並因發現並報告該漏洞而受到讚譽。 TAG 以發現與民族國家行為者相關的複雜攻擊而聞名。

漏洞是什麼？

當瀏覽器對其正在處理的數據類型感到困惑時，Chrome 的 JavaScript 引擎 V8 中就會出現類型混淆缺陷。它可能會導致 Chrome 誤解內存，為任意讀/寫打開大門，在某些情況下，甚至會導致完全遠程代碼執行 (RCE)。

這個錯誤可能會讓黑客訪問他們不應該訪問的內存部分，這可能會讓他們運行有害代碼或使瀏覽器崩潰。

建議閱讀：黑客利用 Microsoft 365 功能發送網絡釣魚電子郵件

“谷歌意識到 CVE-2025-6554 的漏洞存在，”這家科技巨頭在一份聲明中表示。安全諮詢週一發布。

根據國家漏洞數據庫 (NVD) 的數據，該缺陷影響 138.0.7204.96 之前的 Chrome 版本，並可能允許攻擊者運行惡意代碼或導致應用程序崩潰。

緩解措施

谷歌部署一個臨時的2025年6月26日，通過Chrome的穩定通道在服務器端進行緩解，修復零日漏洞。該公司已在穩定桌面通道中為 Chrome 用戶推出了完整補丁：Windows (138.0.7204.96/.97)、Mac (138.0.7204.92/.93) 和 Linux 用戶 (138.0.7204.96)。

谷歌表示：“在大多數用戶更新修復程序之前，對錯誤詳細信息和鏈接的訪問可能會受到限制。如果該錯誤存在於其他項目類似依賴的第三方庫中，但尚未修復，我們也將保留限制。”

谷歌尚未透露有關攻擊背後的利用或威脅行為者的詳細信息。由於該漏洞正在被廣泛利用，因此強烈建議用戶盡快應用安全補丁，以保護其設備和自身免受重大安全風險。

雖然 Chrome 的自動更新最終會安裝修復程序，但您也可以通過轉到“設置”>“幫助”>“關於 Google Chrome”來手動更新 Chrome。

為什麼這是第四次？

 2025 年 Chrome 中先前修補的零日漏洞包括CVE20252783（三月）：Windows 上的 Mojo 在未指定的情況下提供了錯誤的句柄；CVE20254664（5 月）：Loader 中的策略執行不足；和CVE20255419（六月）：V8 中讀寫越界。

隨著 CVE20256554 現已修補，這標誌著短短七個月內解決的第四個活躍的零日漏洞。