【安全圈】CISA警告：Chrome零日漏洞CVE-2025-10585遭在野利用

关键词

安全漏洞

美国网络安全和基础设施安全局（CISA）近日发布警告，称在 Google Chrome 中发现的一个高危零日漏洞已遭到在野利用。该漏洞编号 CVE-2025-10585，已被加入 CISA 的“已知被利用漏洞（KEV）”目录，提示用户和管理员必须立即采取修补措施。

Google 确认其威胁分析小组（TAG）在 2025 年 9 月 16 日发现并报告了该漏洞，并表示已有针对该漏洞的利用代码在现实攻击中出现。漏洞存在于 Chrome 的 V8 JavaScript 与 WebAssembly 引擎中，属于典型的类型混淆（Type Confusion，CWE-843）。当程序以错误的数据类型访问资源时，可能导致内存破坏，攻击者可借此使浏览器崩溃，甚至在受影响系统上执行任意代码。

出于防止进一步滥用的考虑，Google 未披露攻击细节及涉及的威胁行为者。值得注意的是，这已是 2025 年以来第六个被在野利用的 Chrome 零日漏洞，显示浏览器仍是黑客的重点攻击目标。此前一年中，Google 多次修复涉及 V8 引擎越界访问、沙箱绕过以及输入验证不足等严重漏洞。

根据 CISA 指令，联邦文职行政机构（FCEB）必须在 2025 年 10 月 14 日前完成安全更新，这一要求符合 BOD 22-01 的强制性规定。虽然仅对政府机构具备法律约束力，但 CISA 强烈建议所有企业和个人用户立即更新。

用户应将 Chrome 升级至最新版本：Windows 与 macOS 为 140.0.7339.185/.186，Linux 为 140.0.7339.185。更新方式是打开 Chrome 菜单，进入“帮助” → “关于 Google Chrome”，浏览器将自动检查并安装最新补丁。基于 Chromium 的其他浏览器（如 Microsoft Edge、Brave、Opera、Vivaldi）用户也应关注厂商的更新通知并及时升级。

CISA 与安全专家提醒，启用自动更新是应对未来类似威胁的最佳方式。哪怕漏洞表面上仅是技术细节问题，也可能被攻击者链式利用，造成严重入侵和数据泄露风险。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！