【漏洞通告】Google Chrome V8堆缓冲区溢出漏洞(CVE-2025-0999)
【漏洞通告】Google Chrome V8堆缓冲区溢出漏洞(CVE-2025-0999)
启明星辰安全简讯 2025-02-20 08:41
一、漏洞概述
|
漏洞名称 |
Google Chrome V8堆缓冲区溢出漏洞 |
||
|
CVE ID |
CVE-2025-0999 |
||
|
漏洞类型 |
缓冲区溢出 |
发现时间 |
2025-02-20 |
|
漏洞评分 |
8.8 |
漏洞等级 |
高危 |
|
攻击向量 |
网络 |
所需权限 |
无 |
|
利用难度 |
低 |
用户交互 |
需要 |
|
PoC/EXP |
未公开 |
在野利用 |
未发现 |
Google Chrome V8是一个高效的开源JavaScript引擎,用于Chrome浏览器和Node.js等平台。V8将JavaScript代码编译为机器码,以提高执行效率,优化浏览器性能。它支持即时编译(JIT)和垃圾回收机制,通过内存管理和优化算法提供更好的运行速度。V8广泛用于网页和应用程序中,尤其在处理复杂的动态内容时表现优越。该引擎的高效性是Chrome浏览器流畅体验的重要因素之一。
2025年2月20日,启明星辰集团VSRC监测到Google发布了关于CVE-2025-0999漏洞的安全公告。公告指出,Google Chrome浏览器中V8引擎存在堆缓冲区溢出漏洞。该漏洞影响Chrome 133.0.6943.126之前的版本,攻击者可通过构造恶意的HTML页面,利用该漏洞实现远程代码执行,从而可能导致堆内存破坏。该漏洞的CVSS评分为8.8分,漏洞等级为高危。
二、影响范围
Google Chrome < 133.0.6943.126
三、安全措施
3.1 升级版本
建议受影响版本的用户尽快升级到以下版本,以解决该问题。
Google Chrome 版本 133.0.6943.126 (Windows、Mac)
Google Chrome 版本 133.0.6943.127 (Windows、Mac)
Google Chrome 版本 133.0.6943.126 (Linux)
下载链接:
https://www.google.cn/intl/zh-CN/chrome/
3.2 临时措施
暂无。
3.4 参考链接
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_18.html
https://issues.chromium.org/issues/394350433
https://nvd.nist.gov/vuln/detail/CVE-2025-0999