根据(The Hacker New)报导,Google 于周一紧急释出修补程式以解决 Chrome 浏览器中的三项安全漏洞,其中一个已在实际环境中遭到漏洞利用。
这项高风险漏洞追踪编号为 CVE-2025-5419(CVSS 分数:8.8),已被发现存在于 Chrome 使用的 V8 JavaScript 和 WebAssembly 引擎中,属于一种越界读写漏洞。
根据美国国家标准与技术研究所(NIST)国家漏洞资料库(NVD)的描述,在 Google Chrome 137.0.7151.68 版本之前 V8 引擎中存在的越界读写漏洞可能让远端攻击者借由特制的 HTML 页面,利用堆叠毁损(Heap corruption)来发动攻击。
资安公司慢雾(SlowMist)表示,Chrome 已针对这项零时差漏洞紧急释出修补程式,建议用户立即将 Chrome 更新至最新版本:Chrome 137.0.7151.68/.69 (Windows/macOS)、Chrome 137.0.7151.68 (Linux)。(更新方式:「设定」→「关于 Chrome」→检查版本以进行更新)
慢雾补充说,使用基于 Chromium 的浏览器(如 Edge、Brave、Opera、Vivaldi)的用户,也应在修补程式释出后立即更新。
SlowMist Security Alert@googlechrome has released an emergency patch for a high-severity zero-day vulnerability (CVE-2025-5419) actively exploited in the wild. The flaw, found in the V8 JavaScript engine, allows remote attackers to corrupt memory via crafted HTML pages.…
— SlowMist (@SlowMist_Team) June 4, 2025
Source