这是一个创建于 47 天前的主题,其中的信息可能已经有所发展或是发生改变。
近期,谷歌公司为其 Chrome 浏览器发布紧急更新修补 1 处高危漏洞(漏洞编号为 CNVD-2025-14800 )。Chrome 浏览器 JavaScript 引擎在执行 JS 代码时,对数据类型的边界检查和类型转换处理不当,导致攻击者可以诱骗用户访问其构造的恶意页面来触发漏洞,在目标设备实现代码执行。Windows 、Linux 、Mac 系统上 Chrome 浏览器均受此漏洞影响。
响应处置要求:请各单位使用 Chrome 浏览器的个人终端或服务器及时升级至最新版本( Windows 版本升级至 138.0.7204.96/.97 及以上,Linux 版本升级至 138.0.7204.92 及以上,Mac 版本升级至 138.0.7204.92/.93 及以上),同时提高警惕,勿访问来历不明的网页,做好网络安全风险防范。
响应处置要求:请各单位使用 Chrome 浏览器的个人终端或服务器及时升级至最新版本( Windows 版本升级至 138.0.7204.96/.97 及以上,Linux 版本升级至 138.0.7204.92 及以上,Mac 版本升级至 138.0.7204.92/.93 及以上),同时提高警惕,勿访问来历不明的网页,做好网络安全风险防范。
 |
1
HeyWeGo 47 天前
对这方面比较好奇,也没怎么经历过,黑客真的可以在我只访问一个网页,不做任何下载操作的情况下修改我电脑的设置吗?
|
 |
2
maturewongl 47 天前
@HeyWeGo 完全可以
|
 |
7
pusheax 47 天前  1
@HeyWeGo #1 曾经可以,现在很难。
在 IE 和 Flash 时代,几乎每年都会出三四个严重的安全漏洞。当用户访问特定网页/插件的时候,可以直接在用户电脑上执行恶意代码。那个年代,黑掉网站的一大目的就是在网页上挂马,攻击所有访问者。 但是在 Chrome 时代,这种漏洞相当罕见。由于 Chrome 的每个 tab 都跑在沙盒里面,攻击者不止要挖到内存破坏漏洞,还需要再挖到一个沙盒逃逸漏洞,配合在一起才能执行恶意代码。近年来大部分 Chorme 的漏洞都只是前者,在实战中利用价值并不大。 |
 |
8
mikewang 46 天前
补充:对应 CVE 是 CVE-2025-6554
https://security-tracker.debian.org/tracker/CVE-2025-6554 |
 |
11
kxuanobj 46 天前
@maturewongl 请问就算 chrome 真的出现了 Arbitrary code execution ,你打算怎么突破沙箱来做到“完全可以”?
|
Select Language