原文链接: https://mp.weixin.qq.com/s?__biz=MzkzNzY5OTg2Ng==&mid=2247501255&idx=4&sn=756d8698b6aaf9d39b62171e4a466b15

【漏洞通告】Google Chrome V8 类型混淆漏洞 (CVE-2025-6554)

启明星辰安全简讯 2025-07-02 07:43

一、漏洞概述

漏洞名称	Google Chrome V8 类型混淆漏洞
CVE ID	CVE-2025-6554
漏洞类型	类型混淆漏洞	发现时间	2025-07-02
漏洞评分	8.1	漏洞等级	高危
攻击向量	网络	所需权限	无
利用难度	低	用户交互	需要
PoC/EXP	未公开	在野利用	未发现

Google Chrome 是由谷歌开发的跨平台网页浏览器，以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目，支持现代网页标准，具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码，增强浏览器的安全性。它还提供了同步功能，允许用户在多个设备间同步书签、历史记录等数据。此外，Chrome定期更新，修复已知漏洞并增强功能，是全球使用最广泛的浏览器之一。

2025年7月2日，启明星辰集团VSRC监测到Chrome发布的安全公告，指出Google Chrome 138.0.7204.96及之前版本中的V8类型混淆漏洞（CVE-2025-6554）。该漏洞允许远程攻击者通过精心构造的HTML页面执行任意读/写操作。Google已知该漏洞已被恶意利用，漏洞评分为8.1分，漏洞级别为高危。建议用户尽快更新至修复版本，以避免潜在风险。

二、影响范围

Google Chrome(Windows) < 138.0.7204.96/.97

Google Chrome(MacOS) < 138.0.7204.92/.93

Google Chrome(Linux) < 138.0.7204.96。

三、安全措施

3.1 升级版本

官方已发布修复版本，建议受影响用户尽快更新。

下载链接：

https://www.google.cn/chrome/

3.2 临时措施

暂无。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html

https://nvd.nist.gov/vuln/detail/CVE-2025-6554