Chrome 高危漏洞 CNVD-2025-14800

57 天前

Hydsiun

近期，谷歌公司为其 Chrome 浏览器发布紧急更新修补 1 处高危漏洞（漏洞编号为 CNVD-2025-14800 ）。Chrome 浏览器 JavaScript 引擎在执行 JS 代码时，对数据类型的边界检查和类型转换处理不当，导致攻击者可以诱骗用户访问其构造的恶意页面来触发漏洞，在目标设备实现代码执行。Windows 、Linux 、Mac 系统上 Chrome 浏览器均受此漏洞影响。
响应处置要求:请各单位使用 Chrome 浏览器的个人终端或服务器及时升级至最新版本（ Windows 版本升级至 138.0.7204.96/.97 及以上，Linux 版本升级至 138.0.7204.92 及以上，Mac 版本升级至 138.0.7204.92/.93 及以上），同时提高警惕，勿访问来历不明的网页，做好网络安全风险防范。

2187 次点击

所在节点

Chrome

12 条回复

HeyWeGo

57 天前

对这方面比较好奇，也没怎么经历过，黑客真的可以在我只访问一个网页，不做任何下载操作的情况下修改我电脑的设置吗？

maturewongl

57 天前

@HeyWeGo 完全可以

liubaicai

57 天前

@HeyWeGo 有洞就可以

pkoukk

57 天前

@HeyWeGo 完全可以。看来你比较年轻，古早的 IE 年代，上黄网看图片就会中毒

x86

57 天前

@HeyWeGo #1 200x 年的时候 IE 访问个页面就中标了，那年代叫网马（网页木马）

june4

57 天前

@HeyWeGo 以前苹果手机越狱都只要浏览器打开工具网站就可以了，不用下载运行任何东西

pusheax

57 天前

@HeyWeGo #1 曾经可以，现在很难。
在 IE 和 Flash 时代，几乎每年都会出三四个严重的安全漏洞。当用户访问特定网页/插件的时候，可以直接在用户电脑上执行恶意代码。那个年代，黑掉网站的一大目的就是在网页上挂马，攻击所有访问者。
但是在 Chrome 时代，这种漏洞相当罕见。由于 Chrome 的每个 tab 都跑在沙盒里面，攻击者不止要挖到内存破坏漏洞，还需要再挖到一个沙盒逃逸漏洞，配合在一起才能执行恶意代码。近年来大部分 Chorme 的漏洞都只是前者，在实战中利用价值并不大。

mikewang

57 天前

补充：对应 CVE 是 CVE-2025-6554
https://security-tracker.debian.org/tracker/CVE-2025-6554

mikewang

57 天前

https://chromium-review.googlesource.com/c/v8/v8/+/6678591

tool2dx

57 天前

@pusheax 去 github 上搜了一下,是 v8 的漏洞,被编译工具扫出来的,但是基本无法执行任意代码.懒得更新浏览器了.

kxuanobj

57 天前

@maturewongl 请问就算 chrome 真的出现了 Arbitrary code execution ，你打算怎么突破沙箱来做到“完全可以”？

llcczz

57 天前

@pusheax #7 现在也很容易，像前年的 log4j 漏洞也是扫到就可以种上木马，还有向日葵远程的漏洞也是扫到就寄，只是圈外人不知道这些罢了，几乎每年都有 0day 漏洞，0day 就是无需用户点击即可触发的漏洞

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1145725

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.