江苏
关键词
安全漏洞
CISA 正式发布紧急通告,警告 Google Chrome 正遭遇一起被积极利用的 0-Day 漏洞攻击。此次高危漏洞编号为 CVE-2025-13223,来自 Chrome 所依赖的核心组件 V8 JavaScript 引擎。由于该漏洞位于浏览器的最关键执行层,攻击者仅需诱导用户访问恶意网页,就能让浏览器执行未授权代码,进一步导致数据泄露、系统被远程控制,甚至成为入侵企业内网的跳板。
漏洞来自一次典型的类型混淆错误。当浏览器在处理特定 JavaScript 对象时,错误地判断了数据类型,导致 V8 引擎在处理内存时产生越界行为,从而破坏堆结构。只要内存被成功污染,攻击者就可以插入恶意指令,控制渲染进程,再尝试沙箱逃逸,最终实现对系统的实际掌控。
Google 于 2025 年 11 月 19 日发布紧急更新修复该漏洞,受影响的 Chrome 版本均低于 131.0.6778.72。由于漏洞成因通用且存在于 Chromium 代码中,包括 Microsoft Edge、Brave 在内的多种基于 Chromium 的浏览器同样受到影响。CISA 随即在当天将此漏洞加入其已知利用漏洞目录,要求所有美国联邦机构最迟在 2025 年 12 月 10 日前完成更新,以避免成为潜在攻击链中的一环。
此次漏洞的危险性在于触发难度极低。用户只需要打开恶意页面,甚至在无可见交互的 iframe 中加载恶意脚本,浏览器就可能进入被入侵状态。攻击链可能包含浏览器进程劫持、本地文件读取、登录凭据窃取,甚至利用浏览器扩展间接提升权限。虽然目前没有确凿证据显示该 0-Day 被用于大规模勒索攻击,但安全机构警告其利用方式极易与钓鱼邮件、供应链攻击结合,形成更复杂的攻击组合。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
