谷歌紧急修复Chrome浏览器正被利用的0Day漏洞（CVE-2025-13223）

漏洞概况

2025年11月17日，谷歌针对Chrome稳定版频道发布了一项紧急安全更新，修复了V8 JavaScript引擎中两个独立的类型混淆漏洞。其中最严重的CVE-2025-13223已被确认是正被野外利用的0Day漏洞。

漏洞细节

该高危漏洞由谷歌威胁分析小组（TAG）报告，该小组通常追踪复杂的针对性攻击。漏洞编号为CVE-2025-13223，属于V8引擎中的类型混淆问题。

类型混淆漏洞发生在程序错误假设对象数据类型时，会导致逻辑错误和内存误读。在Chrome网页处理核心的V8引擎中，利用此漏洞可使攻击者实现堆损坏，这通常是获取任意代码执行（RCE）能力的前置条件。这意味着攻击者只需诱使用户访问特制网站即可入侵其系统，构成严重的"路过式"攻击风险。

谷歌官方确认："已知针对CVE-2025-13223的野外利用程序已存在。"

相关漏洞

本次更新还修复了V8引擎中的第二个独立漏洞CVE-2025-13224，同样属于类型混淆缺陷。虽然目前尚未确认该漏洞被利用，但由于其同样被归类为V8引擎中的高危类型混淆漏洞，仍需立即修补。

更新建议

谷歌暂未公开漏洞技术细节，以便大多数用户有时间完成更新。补丁将在未来数日/周内逐步推送，但用户不应等待自动更新。

强烈建议所有Windows、Mac和Linux平台的Chrome用户立即更新至以下新稳定版本：

Windows：142.0.7444.175/.176

Mac：142.0.7444.176

Linux：142.0.7444.175