谷歌Chrome零日漏洞遭廣泛利用，可執行任意代碼

谷歌在確認攻擊者正在積極利用一個關鍵零日漏洞（zero-day vulnerability）後，緊急發佈了Chrome安全更新。該漏洞編號為CVE-2025-5419，攻擊者可通過Chrome V8 JavaScript引擎中的越界讀寫操作，在受害者系統上執行任意代碼。

緊急安全更新發佈
谷歌已向Windows和Mac用戶推送Chrome 137.0.7151.68/.69版本，Linux系統版本為137.0.7151.68，更新將在未來數日乃至數週內全球逐步推送。谷歌明確表示"CVE-2025-5419漏洞的利用代碼已存在"，將此列為需要用戶立即處理的高優先級安全問題。

漏洞技術細節
該漏洞由谷歌威脅分析小組（Threat Analysis Group）的Clement Lecigne和Benoît Sevens於2025年5月27日發現並報告。漏洞源於Chrome的JavaScript和WebAssembly引擎V8中的內存損壞問題，該引擎負責處理網站和Web應用程序的代碼。

越界內存訪問漏洞尤其危險，攻擊者可藉此讀取敏感數據或將惡意代碼寫入系統內存。鑒於威脅嚴重性，谷歌於2025年5月28日實施緊急緩解措施，在所有Chrome平台推送配置變更，在完整補丁發佈前為用戶提供保護。

同步修復的中危漏洞
本次安全更新還修復了第二個漏洞CVE-2025-5068，這是Chrome渲染引擎Blink中的釋放後使用（use-after-free）缺陷。安全研究員Walkman於2025年4月7日報告了這個中危漏洞，谷歌為此頒發了1,000美元漏洞賞金。雖然嚴重性低於零日漏洞，但釋放後使用漏洞仍可能導致內存損壞和潛在代碼執行。

谷歌的安全防護機制
谷歌堅持在大多數用戶完成瀏覽器更新前限制詳細漏洞信息的訪問政策，此舉可防止惡意行為者在用戶仍使用易受攻擊版本時，通過逆向工程補丁開發新的利用代碼。谷歌將其綜合安全測試基礎設施歸功於能夠在漏洞進入穩定版前發現多數問題，開發過程中採用AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、控制流完整性（Control Flow Integrity）、libFuzzer和AFL等先進工具識別潛在安全問題。

用戶應對建議
Chrome用戶應立即通過"設置 > 關於Chrome"更新瀏覽器，系統將自動下載安裝最新版本。鑒於CVE-2025-5419正遭活躍利用，強烈建議用戶將此更新視為緊急事項。用戶可檢查Chrome版本是否為137.0.7151.68或更高以確保防護。企業應優先在全網部署此更新，防止攻擊者通過針對該零日漏洞的惡意網站實施入侵。

來源：https://www.freebuf.com/ 感謝【Gy0un】