原文链接: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458596966&idx=2&sn=e31bcd83bed515a47986bdc1cb110940

CISA 将谷歌 Chromium V8 漏洞纳入必修补名单，7月23日前须完成修复

看雪学苑 看雪学苑 2025-07-08 09:59

美国网络安全与基础设施安全局（CISA）近日将谷歌 Chromium 浏览器的V8引擎漏洞（编号 CVE-2025-6554）纳入已知被利用漏洞（KEV）目录，要求联邦机构在 7 月 23 日前完成修复，以防范针对性攻击。

这一漏洞早在上周就已引起关注。谷歌于 6 月下旬发布安全补丁，修复了这一在野存在利用的高危漏洞。美国国家标准与技术研究院（NIST）描述称，该漏洞属于 V8 引擎的类型混淆问题，在 Chrome 浏览器 138.0.7204.96 版本之前，远程攻击者可通过精心构造的 HTML 页面实现任意读写操作，安全等级为 “高”。

V8 引擎作为 Chrome 浏览器的核心组件，负责处理 JavaScript 和 WebAssembly 代码。类型混淆漏洞的危害在于，程序会错误地将数据类型混淆，可能导致内存损坏、程序崩溃，甚至让攻击者有机可乘，执行任意代码。谷歌在安全公告中证实，该漏洞已于 6 月 26 日通过全平台稳定通道的配置更新得到缓解，且 “已知存在野外利用样本”。

据悉，该漏洞由谷歌威胁分析小组的 Clément Lecigne 于 6 月 25 日发现，目前 Chrome 稳定版已更新至 138.0.7204.x 版本，补丁正逐步向 Windows、Mac 和 Linux 全平台推送。值得注意的是，这是 2025 年谷歌修复的第四个 Chrome 零日漏洞，反映出浏览器安全面临的持续压力。

根据 CISA 发布的《绑定操作指令 22-01》，美国联邦民用机构（FCEB）必须在规定期限前修复 KEV 目录中的漏洞，以阻断黑客利用这些漏洞发起的攻击。安全专家同时建议企业和个人用户尽快检查浏览器版本，及时安装更新，避免成为攻击目标。

资讯来源：
securityaffairs

转载请注明出处和本文链接

﹀

﹀

﹀

球分享

球点赞

球在看

点击阅读原文查看更多