Chrome 浏览器V8引擎越界读写漏洞CVE-2025-5419

漏洞名称：

Chrome 浏览器V8引擎越界读写漏洞(CVE-2025-5419)

组件名称：

谷歌-Chrome

影响范围：

Chrome (Windows) < 137.0.7151.68

漏洞类型：

代码执行

利用条件：

1、用户认证：不需要用户认证

2、前置条件：默认配置

3、触发方式：远程

综合评价：

<综合评定利用难度>：容易，无需授权能造成代码执行或沙箱逃逸。

<综合评定威胁等级>：高危，能造成代码执行或沙箱逃逸。

官方解决方案：

已发布

漏洞分析

组件介绍

Google Chrome是一款由Google公司开发的网页浏览器，该浏览器基于其他开源软件撰写，包括WebKit，目标是提升稳定性、速度和安全性，并创造出简单且有效率的使用者界面。

漏洞简介

2025年6月3日，深瞳漏洞实验室监测到一则谷歌-Chrome组件存在越界读写漏洞的信息，漏洞编号：CVE-2025-5419，漏洞威胁等级：高危。

Chrome JavaScript V8引擎中存在一个高危越界读写漏洞，该漏洞允许攻击者以非预期的方式操纵内存，从而可能导致任意代码执行或浏览器沙箱逃逸。该漏洞已存在在野利用。

影响范围

目前受影响的谷歌-Chrome版本：

Google Chrome (Windows) < 137.0.7151.68

解决方案

如何检测组件系统版本

打开Chrome浏览器，点击设置—关于Chrome即可查看当前版本。

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响用户将Chrome浏览器更新到以下版本：

Windows 和 Mac 版本升级至 137.0.7151.68/.69

Linux 版本升级至 137.0.7151.68

https://www.google.cn/intl/zh-CN/chrome/

深信服解决方案

风险资产发现

支持对谷歌-Chrome的主动检测，可批量检出业务场景中该事件的受影响资产情况。

参考链接

https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html

免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本平台和发布者不为此承担任何责任。