原文链接: https://mp.weixin.qq.com/s?__biz=Mzg3OTc0NDcyNQ==&mid=2247494279&idx=1&sn=932e75f14dcf30d997a865d551100152

CVE-2025-6554标志着谷歌在2025年修复的第五个被主动利用的Chrome零日漏洞

鹏鹏同学 黑猫安全 2025-07-17 01:33

谷歌近日发布了针对六个Chrome漏洞的修复程序，其中包括一个已被野外利用的高危漏洞（追踪编号CVE-2025-6558，CVSS评分8.8）。该漏洞源于Chrome浏览器ANGLE和GPU组件中对不可信输入验证不当的问题。

2025年6月23日，谷歌威胁分析小组（TAG）的研究员Clément Lecigne和Vlad Stolyarov报告了该漏洞。该团队主要负责调查国家级黑客组织和商业间谍软件发动的攻击，此次漏洞很可能已被相关威胁分子实际利用。

“谷歌确认CVE-2025-6558漏洞的野外利用代码已存在。”谷歌在安全公告中声明。

其他已修复漏洞包括：
[$7000奖金][425583995] 高危CVE-2025-7656：V8引擎整数溢出漏洞。由Shaheen Fazim于2025年6月17日报告
[奖金待定][427681143] 高危CVE-2025-7657：WebRTC组件释放后重用漏洞。由jakebiles于2025年6月25日报告

七月上旬，谷歌还修复了另一个正遭野外利用的Chrome漏洞（CVE-2025-6554）。该漏洞属于V8 JavaScript和WebAssembly引擎中的类型混淆问题。

“我们已于2025年6月26日通过向全平台稳定通道推送配置更新缓解此问题。”公告指出，”谷歌确认该漏洞的野外利用代码已存在。”

类型混淆漏洞会导致程序错误处理数据类型，可能引发内存损坏、程序崩溃或让攻击者执行任意代码。该漏洞由谷歌TAG团队的Clément Lecigne于2025年6月25日发现。

CVE-2025-6554是谷歌2025年修复的第四个Chrome零日漏洞。本年度已修复的其他零日漏洞包括：

CVE-2025-5419 – V8 JavaScript引擎越界读写漏洞。攻击者可通过特制HTML页面触发堆损坏，已遭活跃利用
CVE-2025-4664 – 可导致账户完全被接管的浏览器漏洞。谷歌确认该漏洞野外利用代码已存在
CVE-2025-2783 – Windows平台Mojo组件句柄处理错误漏洞。由卡巴斯基研究员Boris Larin和Igor Kuznetsov于2025年3月20日报告。谷歌曾发布带外更新修复这个针对俄罗斯机构的高危漏洞