Google修复Chrome浏览器中的类型混淆漏洞

谷歌已向广泛使用的Chrome浏览器推送紧急更新，以修复一个被积极利用的零日漏洞，这是2025年发现的第四个此类漏洞。

该漏洞编号为CVE-2025-6554，被描述为谷歌开发的V8 JavaScript引擎中的类型混淆缺陷，该引擎用于在基于Chromium的浏览器中编译和执行JavaScript代码。它由谷歌威胁分析小组（TAG）的Clément Lecigne于6月25日发现，并在第二天通过配置更改修复，该更改现已推送到所有平台的稳定通道。

美国国家漏洞数据库（NVD）——由国家标准与技术研究院（NIST）运营——表示，如果未加控制，这个高危漏洞可能允许远程攻击者通过特制HTML页面执行任意读取或写入操作。通俗地说，这意味着易受攻击的Chrome用户被诱骗访问攻击者控制的网站时，可能面临攻击，威胁行为者可以在其设备上安装恶意软件（包括间谍软件），或采取其他恶意行动，例如绕过安全限制以在其环境中进行更深入的横向移动，或访问和窃取机密数据。

“谷歌意识到CVE-2025-6554的漏洞利用已在野外存在，”谷歌在其更新通知中表示。然而，鉴于更新可能需要一段时间才能传播到所有Chrome用户，谷歌未提供该问题的进一步技术细节，仅表示漏洞利用似乎正在网络攻击中使用。请注意，谷歌TAG经常监控和报告国家支持的网络活动，但这并不一定表明归因于任何此类威胁关系。

Chrome用户可以通过浏览器窗口右上角的三点图标导航到“帮助”菜单，然后点击“关于Google Chrome”来检查其浏览器是否最新。在大多数情况下，如果尚未应用更新，这样做应自动触发更新。

什么是类型混淆错误？

当程序对对象资源的类型做出不准确的假设，并尝试将其作为假设类型访问或使用时，就会出现类型混淆漏洞。这会导致错误和不良行为，例如崩溃、数据损坏和错误的内存访问，或者在本例中，启用任意代码执行。

攻击者可以通过编写特定的JavaScript代码来利用这些条件，以触发V8内的错误类型假设。这些错误往往出现在C和C++编程语言中——Chrome和V8都是用C++编写的——这些语言勉强使用内存安全机制，但据SOCRadar称，在PHP和Perl代码中也见过此类错误。

除了Chrome、Firefox或Safari等Web浏览器外，它们也可能出现在PDF阅读器、V8以外的其他JavaScript引擎或操作系统组件中。

开发人员可以通过在编译时和运行时进行适当的类型检查、尽可能使用内存安全语言、实施运行时类型验证检查、进行专注于类型转换的代码审查以及使用静态分析工具来检测潜在问题，从而避免将类型混淆缺陷引入其软件中。