GA黄金甲

首页 > 安全钻研 > 钻研汇报 > 安全缝隙分析

【复现】Google Chrome浏览器在野利用缝隙（CVE-2025-6554）

颁布功夫 2025-07-03

6月30日，Google 安全颁布了一个Google Chrome浏览器的高危缝隙（CVE-2025-6554），并暗示该缝隙存在在野缝隙利用，通过接见恶意机关的网页导致远程肆意代码执行。为预防该缝隙带来的安全风险，建议Google Chrome用户实时更新浏览器版本。

影响版本

< 138.0.7204.96/.97 (Windows)

< 138.0.7204.92/.93 (Mac)

< 138.0.7204.92 (Linux)

缝隙成因

该缝隙存在于Google Chrome浏览器的剧本解析引擎V8中。对于let界说的变量foo，在未运行到其界说的代码行时，其位于Temperal dead zone(tdz)，对其接见会抛出ReferenceError。

图片1.png

Ignition在解析“Optional chaining”操作时，未参与对tdz绑定变量的接见查抄，导致hole值泄漏。

图片2.png

缝隙复现

图片3.png

建复建议

Google Chrome官方已经颁布了更新版本。装置Google Chrome浏览器要在其官方网站高低载最新装置包，已装置用户需在本地沉新登录利用以实现更新。

参考链接：

[1]https://chromereleases.googleblog.com/

[2]https://chromium-review.googlesource.com/c/v8/v8/+/6678591/3/src/interpreter/bytecode-generator.cc#b1233

GA黄金甲积极防御尝试室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术钻研尝试室之一，微软MAPP打算主题成员，“黑雀攻击”概想首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计颁布安全缝隙6500余个，持续维持国际网络安全领域一流水准。尝试室钻研方向涵盖基础安全钻延注数据安全钻延注5G安全钻延注AI+安全钻延注卫星安全钻延注运营商基础设施安全钻延注移动安全钻延注物联网安全钻延注车联网安全钻延注工控安全钻延注信创安全钻延注云安全钻延注无线安全钻延注高级威胁钻延注攻防匹敌技术钻研。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】