【复现】Google Chrome浏览器在野使用误差(CVE-2025-6554)

宣布时间 2025-07-03

6月30日 ,Google 清静宣布了一个Google Chrome浏览器的高危误差(CVE-2025-6554) ,并体现该误差保存在野误差使用 ,通过会见恶意结构的网页导致远程恣意代码执行。为阻止该误差带来的清静危害 ,建议Google Chrome用户实时更新浏览器版本。


影响版本


< 138.0.7204.96/.97 (Windows)

< 138.0.7204.92/.93 (Mac)

< 138.0.7204.92 (Linux)


误差成因


该误差保存于Google Chrome浏览器的剧本剖析引擎V8中。关于let界说的变量foo ,在未运行到其界说的代码行时 ,其位于Temperal dead zone(tdz) ,对其会见会抛出ReferenceError。


图片1.png


Ignition在剖析“Optional chaining”操作时 ,未加入对tdz绑定变量的会见检查 ,导致hole值走漏。


图片2.png


误差复现


图片3.png


修复建议


Google Chrome官方已经宣布了更新版本。装置Google Chrome浏览器要在其官方网站上下载最新装置包 ,已装置用户需在外地重新登录应用以完成更新。


参考链接:

[1]https://chromereleases.googleblog.com/

[2]https://chromium-review.googlesource.com/c/v8/v8/+/6678591/3/src/interpreter/bytecode-generator.cc#b1233


尊龙凯时起劲防御实验室(ADLab)


ADLab建设于1999年 ,是中国清静行业最早建设的攻防手艺研究实验室之一 ,微软MAPP妄想焦点成员 ,“黑雀攻击”看法首推者。阻止现在 ,ADLab已通过 CNVD/CNNVD/NVDB/CVE累计宣布清静误差6500余个 ,一连坚持国际网络清静领域一流水准。实验室研究偏向涵盖基础清静研究、数据清静研究、5G清静研究、AI+清静研究、卫星清静研究、运营商基础设施清静研究、移动清静研究、物联网清静研究、车联网清静研究、工控清静研究、信创清静研究、云清静研究、无线清静研究、高级威胁研究、攻防对抗手艺研究。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静服务等。


adlab.jpg