【样本分享】谷歌紧急修复已遭野外利用的Chrome零日漏洞CVE-2025-5419

概要：

谷歌于6月3日发布紧急安全更新，修复2025年以来第三个被主动利用的Chrome零日漏洞CVE-2025-5419。该高危漏洞存在于V8 JavaScript引擎中，可能导致越界读写，已被Google威胁分析小组确认遭野外利用。尽管谷歌已通过配置变更临时缓解风险，但仍敦促用户立即更新至137.0.7151.68/.69版本以彻底修复。

主要内容：

此次漏洞源于Chrome V8引擎的越界读写缺陷，由谷歌威胁分析小组研究员Clement Lecigne和Benoît Sevens于一周前发现。攻击者可利用该漏洞执行任意代码，谷歌在24小时内通过Stable通道推送配置变更实现临时缓解，并于6月3日发布完整补丁。用户需通过「帮助>关于Google Chrome」手动触发更新以立即修复。

谷歌表示将暂不披露攻击细节，直至多数用户完成补丁安装。这是2025年修复的第三个Chrome零日漏洞，前两次分别出现在3月和5月，其中3月漏洞（CVE-2025-2783）被用于针对俄罗斯政府机构的间谍攻击。2024年全年谷歌共修复10个零日漏洞，凸显浏览器安全防护的持续挑战。

技术分析显示，V8引擎的即时编译（JIT）优化过程可能存在类型混淆缺陷，攻击者通过特制JavaScript代码可绕过内存安全边界。企业IT团队应优先部署自动化补丁管理方案，以应对日益频繁的零日攻击威胁。