官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
漏洞概况
2025年11月17日,谷歌针对Chrome稳定版频道发布了一项紧急安全更新,修复了V8 JavaScript引擎中两个独立的类型混淆漏洞。其中最严重的CVE-2025-13223已被确认是正被野外利用的0Day漏洞。
漏洞细节
该高危漏洞由谷歌威胁分析小组(TAG)报告,该小组通常追踪复杂的针对性攻击。漏洞编号为CVE-2025-13223,属于V8引擎中的类型混淆问题。
类型混淆漏洞发生在程序错误假设对象数据类型时,会导致逻辑错误和内存误读。在Chrome网页处理核心的V8引擎中,利用此漏洞可使攻击者实现堆损坏,这通常是获取任意代码执行(RCE)能力的前置条件。这意味着攻击者只需诱使用户访问特制网站即可入侵其系统,构成严重的"路过式"攻击风险。
谷歌官方确认:"已知针对CVE-2025-13223的野外利用程序已存在。"
相关漏洞
本次更新还修复了V8引擎中的第二个独立漏洞CVE-2025-13224,同样属于类型混淆缺陷。虽然目前尚未确认该漏洞被利用,但由于其同样被归类为V8引擎中的高危类型混淆漏洞,仍需立即修补。
更新建议
谷歌暂未公开漏洞技术细节,以便大多数用户有时间完成更新。补丁将在未来数日/周内逐步推送,但用户不应等待自动更新。
强烈建议所有Windows、Mac和Linux平台的Chrome用户立即更新至以下新稳定版本:
- Windows:142.0.7444.175/.176
- Mac:142.0.7444.176
- Linux:142.0.7444.175
参考来源:
Google Patches Actively Exploited Chrome Zero-Day Flaw (CVE-2025-13223) in Emergency Update
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)