CVE-2025-11458 - Google Chrome堆缓冲区溢出漏洞
概述
堆缓冲区溢出存在于Google Chrome 141.0.7390.65之前版本的Sync组件中,远程攻击者可通过特制HTML页面执行越界内存读取操作。(Chromium安全等级:高危)
漏洞时间线
描述
在Google Chrome 141.0.7390.65之前版本中,Sync组件存在堆缓冲区溢出漏洞,允许远程攻击者通过特制HTML页面执行越界内存读取。
基本信息
发布日期: 2025年11月6日 23:15
最后修改: 2025年11月6日 23:15
远程利用: 否
来源: chrome-cve-admin@google.com
受影响产品
以下产品受到CVE-2025-11458漏洞影响。
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | Microsoft | edge_chromium |
受影响厂商总数:1 | 产品数:1
解决方案
- 将Google Chrome更新至最新版本以修复内存破坏漏洞
- 更新Google Chrome至版本141.0.7390.65或更高版本
- 应用Google提供的最新安全补丁
- 避免打开不受信任的HTML页面
参考资源
CWE - 通用弱点枚举
CVE-2025-11458与以下CWE相关联:
CWE-122:基于堆的缓冲区溢出
通用攻击模式枚举与分类(CAPEC)
存储了攻击者利用CVE-2025-11458弱点所采用的常见属性和方法的攻击模式描述。
CAPEC-92:强制整数溢出
漏洞历史记录
| 时间 | 动作 | 类型 | 旧值 | 新值 |
|---|---|---|---|---|
| 2025年11月6日 | 新增 | 描述 | Heap buffer overflow in Sync in Google Chrome prior to 141.0.7390.65 allowed a remote attacker to perform an out of bounds memory read via a crafted HTML page. (Chromium security severity: High) | |
| 2025年11月6日 | 新增 | CWE | CWE-122 | |
| 2025年11月6日 | 新增 | 参考 | https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop.html |
内存破坏
漏洞评分详情
此漏洞暂无CVSS指标可用。