國家信息安全漏洞共享平臺（CNVD）收錄了Google Chrome V8類型混淆漏洞（CNVD-2025-14800，對應CVE-2025-6554）。攻擊者利用該漏洞，可通過誘騙用戶訪問惡意頁面，實現遠程代碼執行攻擊。目前，谷歌公司表示該漏洞已發現在野利用，并發布Chrome新版本。CNVD建議受影響的單位和用戶立即升級至最新版本。

一、漏洞情況分析

Google Chrome是一款由谷歌公司開發的網頁瀏覽器，該瀏覽器基于WebKit、Mozilla等開源軟件開發，具有較好的性能、出色的兼容性和豐富的擴展程序，得到了廣泛使用。

2025年7月2日，國家信息安全漏洞共享平臺（CNVD）收錄了Google Chrome V8類型混淆漏洞。由于Chrome瀏覽器V8 JavaScript（JS）引擎在處理JS代碼時，對某些數據類型的邊界檢查和類型轉換處理不當，導致瀏覽器無法正確區分不同類型的內存數據。攻擊者通過精心構造包含特定JS表達式的惡意Html頁面，并誘騙用戶點擊訪問來觸發此漏洞。未經授權的攻擊者利用該漏洞，可遠程對目標主機執行任意讀寫操作，并進一步實現遠程代碼執行攻擊。CNVD對該漏洞的綜合評級為“高危”。

二、漏洞影響范圍

漏洞影響的產品和版本包括：Google Chrome < 138.0.7204.96

基于Chromium內核開發的瀏覽器

三、漏洞處置建議

谷歌公司已緊急發布新版本修復該漏洞，各平臺Chrome的修復版本情況如下：

1）Windows版：Chrome v138.0.7204.96/.97

2）Linux版：Chrome v138.0.7204.96

3）Mac版：Chrome v138.0.7204.92/.93

Microsoft Edge、Brave、Opera和Vivaldi等基于Chromium內核開發瀏覽器的安全更新仍在開發中。

CNVD建議受影響的單位和用戶立即將Chrome升級至最新版本，同時在使用Chrome時做好安全防范措施，謹慎訪問來源不明的網頁鏈接或文件。