谷歌悄悄紧急修复已遭利用的 Chrome 0day

发布于2025年6月4日2025年7月19日作者:cve-20

谷歌悄悄紧急修复已遭利用的 Chrome 0day

Ionut Arghire 代码卫士 2025-06-04 10:41

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

本周一，谷歌发布 Chrome 137 更新，修复了三个漏洞，其中一个是已遭在野利用的高危 0day 漏洞，CVE-2025-5419。

该漏洞是位于 V8 JavaScript 引擎中的一个界外读和写问题。谷歌在安全公告中提到，“谷歌发现在野存在CVE-2025-5419的利用。”但谷歌并未提供关于该安全缺陷或利用的更多详情。该漏洞由谷歌威胁分析团队 (TAG) 成员 Clement Lecigne 和 Benoît Sevens 报送。

TAG 研究人员此前曾报送遭商用监控软件厂商利用的多个漏洞，包括位于 Chrome 中的此类漏洞。谷歌浏览器中的漏洞经常遭监控厂商利用，而CVE-2025-5419可能也并不例外。

NIST 发布一份安全报告提到，该已遭利用的0day漏洞“可使远程攻击者通过构造的 HTML 页面利用堆损坏”。值得注意的是，界外漏洞遭利用通常会导致任意代码执行后果。

这份最新的浏览器更新还修复了一个位于 Blink 中的中危 UAF 漏洞CVE-2025-5068，研究人员为此获得1000美元的赏金。而CVE-2025-5419的报送研究员不会获得任何赏金。Chrome 的最新版本是 137.0.7151.68/.69 （Windows 和 macOS）以及 137.0.7151.68（Linux）。

CVE-2025-5419的补丁是在3月份据称遭俄罗斯国家黑客组织利用 Chrome 沙箱逃逸 (CVE-2025-2783) 漏洞被捕获和修复后发布的。火狐浏览器也修复了一个类似漏洞。5月中旬，谷歌发布一份 Chrome 136更新，并提醒称该漏洞的利用已在野出现。该补丁是在研究员在社交媒体平台X上发布相关信息后推出的。

代码卫士试用地址：
https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

Chrome修复已遭活跃利用的0day

Firefox 存在严重漏洞，类似于 Chrome 已遭利用0day

谷歌修复今年第五个 Chrome 0day漏洞

谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day

谷歌修复2024年首个已遭利用的 Chrome 0day 漏洞

原文链接

https://www.securityweek.com/google-researchers-find-new-chrome-zero-day/

题图：
Pixabay
License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。