前言
近日,奇安信CERT监测到Google Chrome中曝出一枚高危安全漏洞(CVE-2025-5419,QVD-2025-21836),该漏洞属于越界读写问题,攻击者只需通过构造恶意网页,就可能触发漏洞,从而绕过Chrome的沙箱防护,直接实现远程代码执行,最终完全控制用户设备。目前,安全社区已确认该漏洞正在被攻击者利用,影响范围巨大,潜在受害用户数量达到千万级。
漏洞范围
漏洞源于Chrome内置的V8 JavaScript引擎。作为Google自主研发的高性能浏览器引擎,V8一直是Chrome高效运行的核心,但这次的安全缺陷让攻击者可以突破原本隔离良好的沙箱机制,使浏览器标签页不再是安全的“独立空间”。一旦中招,攻击者能够以用户权限执行任意操作,窃取敏感信息甚至进一步渗透设备。由于漏洞利用门槛不高且已有在野利用案例,奇安信将其评级为高危,CVSS 3.1分数高达8.8,用户必须高度重视。
受影响范围
受影响的版本包括Windows和Mac平台上137.0.7151.68/.69之前的Chrome版本,以及Linux平台上137.0.7151.68之前的版本。好消息是Google官方已经紧急发布了修复补丁,用户只需要将浏览器升级到最新版本即可免受攻击。升级方法非常简单,只需点击浏览器右上角的“更多”图标,进入“帮助”-“关于Google Chrome”,系统会自动检测并下载更新,完成后重启浏览器即可。最新版本分别为Windows/Mac平台137.0.7151.68/.69及以上,Linux平台137.0.7151.68及以上,用户可以前往Google Chrome官网(https
)
)
