Chrome 出现高危零日漏洞 CVE-2025-5419
Google 于 6 月 2 日紧急发布 Chrome 137.0.7151.68 版本,修复了一个正在被野外利用的高危零日漏洞 CVE-2025-5419。该漏洞位于 Chrome 的 V8 JavaScript 引擎中,属于越界读写 (out-of-bounds read/write) 类型,CVSS 评分高达 8.8。
攻击者可通过构造恶意 HTML 或 JavaScript 页面触发此漏洞,导致 V8 引擎错误地读写越界内存,从而实现远程代码执行。利用过程无需特殊权限,仅需诱导用户访问特制页面即可成功攻击。Google Threat Analysis Group 于 5 月 27 日发现并报告了此漏洞,次日 Google 即推送热修复,6 月 2 日在正式通道发布了补丁版本。
所有基于 Chromium 的浏览器均受此漏洞影响。目前 Microsoft Edge 已于 6 月 3 日发布 137.0.3296.62 版本完成修复,Brave 浏览器同日发布 1.79.119 版本 (内置 Chromium 137.0.7151.68),Vivaldi 于 6 月 4 日推出 7.4.x 更新 (升级至 Chromium 136.0.7103.162)。Arc 浏览器的最新版本仍使用存在漏洞的 Chromium 137.0.7151.56,用户需等待官方更新。
(helpnetsecurity)
Google 于 6 月 2 日紧急发布 Chrome 137.0.7151.68 版本,修复了一个正在被野外利用的高危零日漏洞 CVE-2025-5419。该漏洞位于 Chrome 的 V8 JavaScript 引擎中,属于越界读写 (out-of-bounds read/write) 类型,CVSS 评分高达 8.8。
攻击者可通过构造恶意 HTML 或 JavaScript 页面触发此漏洞,导致 V8 引擎错误地读写越界内存,从而实现远程代码执行。利用过程无需特殊权限,仅需诱导用户访问特制页面即可成功攻击。Google Threat Analysis Group 于 5 月 27 日发现并报告了此漏洞,次日 Google 即推送热修复,6 月 2 日在正式通道发布了补丁版本。
所有基于 Chromium 的浏览器均受此漏洞影响。目前 Microsoft Edge 已于 6 月 3 日发布 137.0.3296.62 版本完成修复,Brave 浏览器同日发布 1.79.119 版本 (内置 Chromium 137.0.7151.68),Vivaldi 于 6 月 4 日推出 7.4.x 更新 (升级至 Chromium 136.0.7103.162)。Arc 浏览器的最新版本仍使用存在漏洞的 Chromium 137.0.7151.56,用户需等待官方更新。
(helpnetsecurity)
