江蘇
關鍵詞
安全漏洞
CISA 正式發布緊急通告,警告 Google Chrome 正遭遇一起被積極利用的 0-Day 漏洞攻擊。此次高危漏洞編號為 CVE-2025-13223,來自 Chrome 所依賴的核心組件 V8 JavaScript 引擎。由于該漏洞位于瀏覽器的最關鍵執行層,攻擊者僅需誘導用戶訪問惡意網頁,就能讓瀏覽器執行未授權代碼,進一步導致數據泄露、系統被遠程控制,甚至成為入侵企業內網的跳板。
漏洞來自一次典型的類型混淆錯誤。當瀏覽器在處理特定 JavaScript 對象時,錯誤地判斷了數據類型,導致 V8 引擎在處理內存時產生越界行為,從而破壞堆結構。只要內存被成功污染,攻擊者就可以插入惡意指令,控制渲染進程,再嘗試沙箱逃逸,最終實現對系統的實際掌控。
Google 于 2025 年 11 月 19 日發布緊急更新修復該漏洞,受影響的 Chrome 版本均低于 131.0.6778.72。由于漏洞成因通用且存在于 Chromium 代碼中,包括 Microsoft Edge、Brave 在內的多種基于 Chromium 的瀏覽器同樣受到影響。CISA 隨即在當天將此漏洞加入其已知利用漏洞目錄,要求所有美國聯邦機構最遲在 2025 年 12 月 10 日前完成更新,以避免成為潛在攻擊鏈中的一環。
此次漏洞的危險性在于觸發難度極低。用戶只需要打開惡意頁面,甚至在無可見交互的 iframe 中加載惡意腳本,瀏覽器就可能進入被入侵狀態。攻擊鏈可能包含瀏覽器進程劫持、本地文件讀取、登錄憑據竊取,甚至利用瀏覽器擴展間接提升權限。雖然目前沒有確鑿證據顯示該 0-Day 被用于大規模勒索攻擊,但安全機構警告其利用方式極易與釣魚郵件、供應鏈攻擊結合,形成更復雜的攻擊組合。
安全圈
網羅圈內熱點 專注網絡安全
實時資訊一手掌握!
好看你就分享 有用就點個贊
支持「安全圈」就點個三連吧!
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
