FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

Google已针对Windows和Mac系统发布140.0.7339.185/.186版本，Linux系统发布140.0.7339.185版本的稳定通道更新，修复了四个高危安全漏洞。其中最值得关注的是CVE-2025-10585——Chrome V8 JavaScript引擎中的一个漏洞，目前已在野外被实际利用。

CVE-2025-10585：V8类型混淆漏洞（零日漏洞）

最紧急的修复针对V8（Chrome核心JavaScript和WebAssembly引擎）中的类型混淆错误。该漏洞由Google威胁分析小组(TAG)报告，攻击者只需诱使用户访问恶意网页，就能通过操纵内存实现任意代码执行。Google确认："已知CVE-2025-10585漏洞的野外利用程序存在"，强调了立即打补丁的必要性。

CVE-2025-10500：Dawn组件释放后使用漏洞

第二个漏洞CVE-2025-10500存在于Dawn（WebGPU底层的图形抽象层）中。该漏洞由Giunash（Gyujeong Jin）报告，属于释放后使用(use-after-free)问题，可能导致浏览器崩溃或被利用执行任意代码。Google为此漏洞发现支付了5,000美元赏金。

CVE-2025-10501：WebRTC释放后使用漏洞

第三个漏洞CVE-2025-10501影响WebRTC（浏览器实时音视频和数据共享技术）。同样属于释放后使用漏洞，考虑到WebRTC在在线通信中的作用，攻击者可能借此破坏实时会话或使通信服务崩溃。Google为此报告支付了10,000美元奖励。

CVE-2025-10502：ANGLE堆缓冲区溢出漏洞

最后一个漏洞CVE-2025-10502涉及ANGLE（用于提升OpenGL和Direct3D等图形API兼容性的图形引擎转换层）中的堆缓冲区溢出问题。该漏洞可能导致内存损坏和潜在的远程代码执行。虽然细节受限，但堆缓冲区溢出在渲染环境中通常被认为具有高度可利用性。

参考来源：

Chrome Emergency Update: Zero-Day (CVE-2025-10585) in V8 Exploited in the Wild

免责声明

1.一般免责声明：本文所提供的技术信息仅供参考，不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》，作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。

2. 适用性声明：文中技术内容可能不适用于所有情况或系统，在实际应用前请充分测试和评估。若因使用不当造成的任何问题，相关方不承担责任。

3. 更新声明：技术发展迅速，文章内容可能存在滞后性。读者需自行判断信息的时效性，因依据过时内容产生的后果，作者及发布平台不承担责任。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）