概述
CVE-2025-12432是Google Chrome V8引擎中的一个竞态条件漏洞,可导致堆损坏,Chromium安全等级评定为高危。
漏洞描述
在Google Chrome 142.0.7444.59之前版本中,V8引擎存在竞态条件,远程攻击者可能通过特制HTML页面利用堆损坏漏洞。
时间线
- 发布日期:2025年11月10日 20:15
- 最后修改:2025年11月10日 21:15
- 远程利用:是
- 来源:chrome-cve-admin@google.com
受影响产品
| ID | 厂商 | 产品 | 操作 |
|---|---|---|---|
| 1 | chrome | ||
| 2 | Microsoft | edge_chromium |
总计受影响厂商:2 | 产品:2
CVSS评分
| 分数 | 版本 | 严重等级 | 向量 | 可利用性分数 | 影响分数 | 来源 |
|---|---|---|---|---|---|---|
| 8.8 | CVSS 3.1 | 高危 | 2.8 | 5.9 | 134c704f-9b21-4f2e-91b3-4a467353bcc0 |
解决方案
- 更新Google Chrome至版本142.0.7444.59以修复堆损坏漏洞
- 清除浏览器缓存和Cookie
- 重启浏览器
参考资源
CWE分类
CWE-362: 使用共享资源进行并发执行时同步不当(竞态条件)
CAPEC攻击模式
- CAPEC-26: 利用竞态条件
- CAPEC-29: 利用检查时间与使用时间竞态条件
漏洞历史记录
由134c704f-9b21-4f2e-91b3-4a467353bcc0修改 - 2025年11月10日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | CVSS V3.1 | AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
由chrome-cve-admin@google.com接收新CVE - 2025年11月10日
| 操作 | 类型 | 旧值 | 新值 |
|---|---|---|---|
| 添加 | 描述 | Race in V8 in Google Chrome prior to 142.0.7444.59 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page. (Chromium security severity: High) | |
| 添加 | CWE | CWE-362 | |
| 添加 | 参考 | https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html |
漏洞评分详情
CVSS 3.1基础评分:8.8
- 攻击向量:网络
- 攻击复杂度:低
- 所需权限:无
- 用户交互:需要
- 范围:已更改
- 机密性影响:高
- 完整性影响:高
- 可用性影响:高