原文链接: https://mp.weixin.qq.com/s?__biz=Mzk1NzE0ODUyOA==&mid=2247492291&idx=1&sn=016611bd54e6385d9c7ac784ba2e1355

【复现】Google Chrome浏览器在野利用漏洞（CVE-2025-6554）

启明星辰 ADLab 2025-07-03 09:28

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站（adlab.venustech.com.cn）

6
月
30
日，
Google 
安全发布了一个
Google Chrome
浏览器的高危漏洞（
CVE-2025-6554
），并表示该漏洞存在在野漏洞利用，通过访问恶意构造的网页导致远程任意代码执行。为避免该漏洞带来的安全风险，建议
Google Chrome
用户及时更新浏览器版本。
– 影响版本

< 138.0.7204.96/.97 (Windows)

< 138.0.7204.92/.93 (Mac)

< 138.0.7204.92 (Linux)
– ## 漏洞成因

该漏洞存在于
Google Chrome
浏览器的脚本解析引擎
V8
中。对于
let
定义的变量
foo
，在未运行到其定义的代码行时，其位于
Temperal dead zone(tdz)
，对其访问会抛出
ReferenceError
。

Ignition
在解析“
Optional chaining
”操作时，未加入对
tdz
绑定变量的访问检查，导致
hole
值泄漏。

– ## 漏洞复现

– ## 修复建议

Google Chrome
官方已经发布了更新版本。安装
Google Chrome
浏览器要在其官方网站上下载最新安装包，已安装用户需在本地重新登录应用以完成更新。

参考链接：

[1]
https://chromereleases.googleblog.com/

[2]
https://chromium-review.googlesource.com/c/v8/v8/+/6678591/3/src/interpreter/bytecode-generator.cc#b1233

启明星辰积极防御实验室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术研究实验室之一，微软MAPP计划核心成员，
“黑雀攻击”概
念首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞6500余个，持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、数据安全研究、5G安全研究、AI+安全研究、卫星安全研究、运营商基础设施安全研究、移动安全研究、物联网安全研究、车联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防对抗技术研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等
。