谷歌在確認(rèn)攻擊者正在積極利用一個(gè)關(guān)鍵零日漏洞（zero-day vulnerability）后，緊急發(fā)布了Chrome安全更新。該漏洞編號(hào)為CVE-2025-5419，攻擊者可通過(guò)Chrome V8 JavaScript引擎中的越界讀寫(xiě)操作，在受害者系統(tǒng)上執(zhí)行任意代碼。

緊急安全更新發(fā)布

谷歌已向Windows和Mac用戶推送Chrome 137.0.7151.68/.69版本，Linux系統(tǒng)版本為137.0.7151.68，更新將在未來(lái)數(shù)日乃至數(shù)周內(nèi)全球逐步推送。谷歌明確表示"CVE-2025-5419漏洞的利用代碼已存在"，將此列為需要用戶立即處理的高優(yōu)先級(jí)安全問(wèn)題。

漏洞技術(shù)細(xì)節(jié)

該漏洞由谷歌威脅分析小組（Threat Analysis Group）的Clement Lecigne和Beno?t Sevens于2025年5月27日發(fā)現(xiàn)并報(bào)告。漏洞源于Chrome的JavaScript和WebAssembly引擎V8中的內(nèi)存損壞問(wèn)題，該引擎負(fù)責(zé)處理網(wǎng)站和Web應(yīng)用程序的代碼。

越界內(nèi)存訪問(wèn)漏洞尤其危險(xiǎn)，攻擊者可借此讀取敏感數(shù)據(jù)或?qū)阂獯a寫(xiě)入系統(tǒng)內(nèi)存。鑒于威脅嚴(yán)重性，谷歌于2025年5月28日實(shí)施緊急緩解措施，在所有Chrome平臺(tái)推送配置變更，在完整補(bǔ)丁發(fā)布前為用戶提供保護(hù)。

同步修復(fù)的中危漏洞

本次安全更新還修復(fù)了第二個(gè)漏洞CVE-2025-5068，這是Chrome渲染引擎Blink中的釋放后使用（use-after-free）缺陷。安全研究員Walkman于2025年4月7日?qǐng)?bào)告了這個(gè)中危漏洞，谷歌為此頒發(fā)了1,000美元漏洞賞金。雖然嚴(yán)重性低于零日漏洞，但釋放后使用漏洞仍可能導(dǎo)致內(nèi)存損壞和潛在代碼執(zhí)行。

谷歌的安全防護(hù)機(jī)制

谷歌堅(jiān)持在大多數(shù)用戶完成瀏覽器更新前限制詳細(xì)漏洞信息的訪問(wèn)政策，此舉可防止惡意行為者在用戶仍使用易受攻擊版本時(shí)，通過(guò)逆向工程補(bǔ)丁開(kāi)發(fā)新的利用代碼。谷歌將其綜合安全測(cè)試基礎(chǔ)設(shè)施歸功于能夠在漏洞進(jìn)入穩(wěn)定版前發(fā)現(xiàn)多數(shù)問(wèn)題，開(kāi)發(fā)過(guò)程中采用AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、控制流完整性（Control Flow Integrity）、libFuzzer和AFL等先進(jìn)工具識(shí)別潛在安全問(wèn)題。

用戶應(yīng)對(duì)建議

Chrome用戶應(yīng)立即通過(guò)"設(shè)置 > 關(guān)于Chrome"更新瀏覽器，系統(tǒng)將自動(dòng)下載安裝最新版本。鑒于CVE-2025-5419正遭活躍利用，強(qiáng)烈建議用戶將此更新視為緊急事項(xiàng)。用戶可檢查Chrome版本是否為137.0.7151.68或更高以確保防護(hù)。企業(yè)應(yīng)優(yōu)先在全網(wǎng)部署此更新，防止攻擊者通過(guò)針對(duì)該零日漏洞的惡意網(wǎng)站實(shí)施入侵。