Chrome 高危漏洞可导致攻击者执行任意代码

紧急安全更新发布

谷歌已为其Chrome浏览器发布紧急安全更新，高危修复了三个可能导致攻击者在用户系统上执行任意代码的漏洞关键漏洞。Windows和Mac平台的可导稳定版更新版本号为138.0.7204.168/.169 ，Linux平台为138.0.7204.168
，致攻执行该更新将在未来数日乃至数周内向全球用户逐步推送 。任意

高危类型混淆漏洞

最值得关注的代码是Chrome V8 JavaScript引擎中的两个高危类型混淆漏洞，均由安全研究员Shaheen Fazim于2025年7月9日发现并报告。高危这两个漏洞编号为CVE-2025-8010和CVE-2025-8011
，模板下载漏洞对浏览器安全构成重大威胁。可导

其中CVE-2025-8010已获得8000美元的致攻执行高额漏洞赏金，表明其严重性和潜在影响。任意第二个漏洞CVE-2025-8011的代码赏金金额仍在评估中
，但对用户安全同样构成严重威胁。高危

类型混淆攻击原理

类型混淆漏洞发生在软件使用错误的漏洞数据类型访问资源时  ，会导致意外行为并可能引发安全漏洞 。可导在Chrome V8 JavaScript引擎中，这类漏洞尤其危险，源码库攻击者可通过精心设计的网页操纵内存分配，最终实现任意代码执行。

网络安全研究人员指出 ："类型混淆通常与释放后使用（use-after-free）漏洞结合，是现代C++软件（如浏览器）被攻陷的主要攻击途径 
。"成功利用这些漏洞可能导致堆损坏 、内存损坏 ，最终实现任意代码执行 。

浏览器安全形势严峻

此次更新正值基于浏览器的安全威胁日益增长的高防服务器严峻时期 。安全专家报告显示 ，2024年漏洞数量较2023年增长61% ，预计2025年漏洞总数将接近5万个 
。

Chrome V8引擎已成为网络犯罪分子的重点攻击目标，谷歌为此提高了漏洞赏金金额，对高质量的V8漏洞报告最高奖励2万美元
 。V8 JavaScript引擎不仅驱动Chrome ，还支持Microsoft Edge和Brave等基于Chromium的浏览器，亿华云每天处理数十亿次网络交互
，使得这些漏洞尤为关键 。

一旦被利用，这些漏洞可能使攻击者绕过Chrome的安全沙箱，获取底层操作系统访问权限。安全研究人员强调用户应立即更新浏览器，现代类型混淆攻击仅需访问恶意网站即可触发
 ，无需用户额外交互。

漏洞发现与防御

攻击通常始于攻击者制作包含特殊设计JavaScript代码的恶意HTML页面，利用这些V8引擎漏洞 。免费模板谷歌安全团队还感谢了包括AddressSanitizer
、MemorySanitizer和模糊测试技术在内的多项内部安全计划，这些技术有助于在漏洞进入生产环境前发现它们。

然而，这些高危漏洞由外部研究人员发现的事实表明，保护复杂浏览器引擎仍面临持续挑战。Chrome用户应通过"设置>关于Chrome"路径检查浏览器版本，并允许安装所有待处理的自动更新。

鉴于这些漏洞的源码下载严重性及其在"路过式"（drive-by）攻击中的潜在利用可能，强烈建议立即安装补丁。