【漏洞通告】Google Chrome V8引擎越界读写漏洞(CVE-2025-5419)

启明星辰安全简讯 2025-06-04 07:24

一、漏洞概述

漏洞名称	Google Chrome V8引擎越界读写漏洞
CVE ID	CVE-2025-5419
漏洞类型	越界读写	发现时间	2025-06-04
漏洞评分	8.8	漏洞等级	高危
攻击向量	网络	所需权限	不需要
利用难度	低	用户交互	需要
PoC/EXP	未公开	在野利用	已发现

Google Chrome 是由谷歌开发的跨平台网页浏览器，以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目，支持现代网页标准，具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码，增强浏览器的安全性。它还提供了同步功能，允许用户在多个设备间同步书签、历史记录等数据。此外，Chrome定期更新，修复已知漏洞并增强功能，是全球使用最广泛的浏览器之一。

2025年6月4日，启明星辰集团VSRC监测到Chrome发布的安全公告，指出Google Chrome 137.0.7151.68版本之前存在V8引擎的越界读写漏洞（CVE-2025-5419）。该漏洞源于V8引擎中的越界读写，攻击者可通过恶意网页触发漏洞，绕过沙箱防护，导致堆内存损坏，进而可能引发浏览器崩溃、敏感信息泄露，甚至实现远程代码执行（RCE），完全控制用户设备。漏洞级别高危，漏洞评分8.8分。

二、影响范围

Google Chrome(Windows/Mac) < 137.0.7151.68/.69

Google Chrome(Linux) < 137.0.7151.68

三、安全措施

3.1 升级版本

官方已发布修复版本，建议受影响用户尽快更新。

下载链接：

https://www.google.cn/chrome/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html