这是一个创建于 135 天前的主题,其中的信息可能已经有所发展或是发生改变。
近期,谷歌公司为其 Chrome 浏览器发布紧急更新修补 1 处高危漏洞(漏洞编号为 CNVD-2025-14800 )。Chrome 浏览器 Javascript 引擎在执行 JS 代码时,对数据类型的边界检查和类型转换处理不当,导致攻击者可以诱骗用户访问其构造的恶意页面来触发漏洞,在目标设备实现代码执行。Windows 、Linux 、Mac 系统上 Chrome 浏览器均受此漏洞影响。
响应处置要求:请各单位使用 Chrome 浏览器的个人终端或服务器及时升级至最新版本( Windows 版本升级至 138.0.7204.96/.97 及以上,Linux 版本升级至 138.0.7204.92 及以上,Mac 版本升级至 138.0.7204.92/.93 及以上),同时提高警惕,勿访问来历不明的网页,做好网络安全风险防范。
响应处置要求:请各单位使用 Chrome 浏览器的个人终端或服务器及时升级至最新版本( Windows 版本升级至 138.0.7204.96/.97 及以上,Linux 版本升级至 138.0.7204.92 及以上,Mac 版本升级至 138.0.7204.92/.93 及以上),同时提高警惕,勿访问来历不明的网页,做好网络安全风险防范。
 | 1 HeyWeGo 135 天前 对这方面比较好奇,也没怎么经历过,黑客真的可以在我只访问一个网页,不做任何下载操作的情况下修改我电脑的设置吗? |
 | 2 maturewongl 135 天前 @HeyWeGo 完全可以 |
 | 7 pusheax 135 天前  1 @HeyWeGo #1 曾经可以,现在很难。 在 IE 和 Flash 时代,几乎每年都会出三四个严重的安全漏洞。当用户访问特定网页/插件的时候,可以直接在用户电脑上执行恶意代码。那个年代,黑掉网站的一大目的就是在网页上挂马,攻击所有访问者。 但是在 Chrome 时代,这种漏洞相当罕见。由于 Chrome 的每个 tab 都跑在沙盒里面,攻击者不止要挖到内存破坏漏洞,还需要再挖到一个沙盒逃逸漏洞,配合在一起才能执行恶意代码。近年来大部分 Chorme 的漏洞都只是前者,在实战中利用价值并不大。 |
 | 8 mikewang 135 天前 补充:对应 CVE 是 CVE-2025-6554 https://security-tracker.debian.org/tracker/CVE-2025-6554 |
 | 11 kxuanobj 135 天前 @maturewongl 请问就算 chrome 真的出现了 Arbitrary code execution ,你打算怎么突破沙箱来到“完全可以”? |
Select Language