首页 > 安全研究 > 研究报告 > 安全漏洞分析

【复现】Google Chrome浏览器在野利用漏洞(CVE-2025-6554)

发布时间 2025-07-03

6月30日,Google 安全发布了一个Google Chrome浏览器的高危漏洞(CVE-2025-6554),并表示该漏洞存在在野漏洞利用,通过访问恶意构造的网页导致远程任意代码执行。为避免该漏洞带来的安全风险,建议Google Chrome用户及时更新浏览器版本。


影响版本


< 138.0.7204.96/.97 (Windows)

< 138.0.7204.92/.93 (Mac)

< 138.0.7204.92 (Linux)


漏洞成因


该漏洞存在于Google Chrome浏览器的脚本解析引擎V8中。对于let定义的变量foo,在未运行到其定义的代码行时,其位于Temperal dead zone(tdz),对其访问会抛出ReferenceError。


图片1.png


Ignition在解析“Optional chaining”操作时,未加入对tdz绑定变量的访问检查,导致hole值泄漏。


图片2.png


漏洞复现


图片3.png


修复建议


Google Chrome官方已经发布了更新版本。安装Google Chrome浏览器要在其官方网站上下载最新安装包,已安装用户需在本地重新登录应用以完成更新。


参考链接:

[1]https://chromereleases.googleblog.com/

[2]https://chromium-review.googlesource.com/c/v8/v8/+/6678591/3/src/interpreter/bytecode-generator.cc#b1233


yL23411永利积极防御实验室(ADLab)


ADLab成立于1999年,是中国安全行业最早成立的攻防技术研究实验室之一,微软MAPP计划核心成员,“黑雀攻击”概念首推者。截至目前,ADLab已通过 CNVD/CNNVD/NVDB/CVE累计发布安全漏洞6500余个,持续保持国际网络安全领域一流水准。实验室研究方向涵盖基础安全研究、数据安全研究、5G安全研究、AI+安全研究、卫星安全研究、运营商基础设施安全研究、移动安全研究、物联网安全研究、车联网安全研究、工控安全研究、信创安全研究、云安全研究、无线安全研究、高级威胁研究、攻防对抗技术研究。研究成果应用于产品核心技术研究、国家重点科技项目攻关、专业安全服务等。


adlab.jpg

上一篇 下一篇