【漏洞通报】Chrome V8 类型混淆远程执行漏洞

漏洞情况

近期，火山信安实验室监测发现，，Google Chrome V8 JavaScript引擎存在高危类型混淆漏洞（CVE-2025-10585），该漏洞已被证实存在在野利用，攻击者可通过诱导用户访问恶意网页实现远程代码执行，对用户设备安全构成严重威胁。

0x01漏洞利用方式

V8引擎在处理JavaScript对象时存在类型检查逻辑缺陷，攻击者可利用此漏洞精心构造恶意对象，使引擎错误解析对象类型并操纵浏览器内存布局，通过编写特定JavaScript代码触发内存越界读写，进而覆盖关键函数指针或返回地址以实现任意代码执行；攻击者通常通过钓鱼邮件、恶意广告或社交工程手段诱导用户点击包含恶意脚本的链接或访问恶意网页，当用户浏览器加载这些页面时，V8引擎在解析脚本过程中会触发该漏洞并执行攻击者注入的恶意代码，最终导致攻击者完全控制用户设备，能够窃取登录凭证、浏览历史等敏感信息，并以用户权限在系统内执行任意操作，包括安装恶意软件或发起横向攻击。

0x02影响范围

• Google Chrome（Windows/Mac）< 140.0.7339.185/.186
• Google Chrome（Linux）< 140.0.7339.185

0x03修复方案

1. 升级到安全版本
2. 部署EDR（终端检测与响应）工具，实时监控异常进程行为
3. 开展安全意识培训，提高用户对钓鱼攻击的识别能力

来源自：广州盈基信息官网