HackerNews 编译，转载请注明出处：

谷歌发布 Chrome 安全更新，修复了两个漏洞，其中包括一个编号为 CVE-2025-13223 的高危 V8 类型混淆漏洞 —— 该漏洞已被野外活跃利用。

Chrome V8 引擎是谷歌开发的开源 JavaScript 及 WebAssembly 引擎（采用 C++ 编写），为谷歌 Chrome 浏览器、Node.js 等应用程序提供代码执行支持。

类型混淆漏洞是指软件将某块内存错误解读为其他类型对象的安全问题。这种混淆可能导致攻击者破坏内存数据、崩溃程序或执行恶意代码，在浏览器等 C/C++ 开发的应用中较为常见 —— 这类语言较弱的内存安全性为漏洞利用提供了可能。

攻击者可通过构造恶意 HTML 页面触发该漏洞，实现代码执行或导致程序崩溃。

该漏洞影响版本号低于 142.0.7444.175 的谷歌 Chrome 浏览器中的 V8 脚本引擎。

美国国家标准与技术研究院（NIST）在安全公告中指出：“谷歌 Chrome 142.0.7444.175 版本之前的 V8 引擎存在类型混淆漏洞，远程攻击者可通过构造恶意 HTML 页面潜在利用此漏洞实施堆破坏。（Chromium 安全等级：高危）”

公告同时明确：“谷歌已知悉 CVE-2025-13223 漏洞存在野外利用样本。”

该漏洞由谷歌威胁分析小组（TAG）的克莱芒・勒西涅（Clément Lecigne）于 2025 年 11 月 12 日报告。谷歌 TAG 团队主要负责调查国家级黑客组织及商业间谍软件供应商发起的攻击活动，此次漏洞大概率已被某类威胁行为者用于野外攻击。与往常一致，谷歌未披露该漏洞相关攻击事件的具体细节。

此外，谷歌还修复了另一个 V8 类型混淆漏洞 CVE-2025-13224，该漏洞由谷歌通过其 “Big Sleep” 安全机制于 2025 年 10 月 9 日自行发现。

用户应根据自身操作系统，将 Chrome 浏览器更新至 142.0.7444.175 或 142.0.7444.176 版本，并重启浏览器以应用修复补丁。

CVE-2025-13223 是 2025 年以来谷歌修复的第七个被野外活跃利用的 Chrome 零日漏洞，其余已修复的零日漏洞包括：

...

HackerNews 编译，转载请注明出处：

攻击者利用谷歌基础设施的漏洞发送伪造邮件，这些邮件通过全部验证但指向收集登录凭证的欺诈页面。

...

HackerNews 编译，转载请注明出处：

谷歌在 2025 年 4 月的 Android 安全更新中发布了针对 62 个漏洞的补丁，其中包括两个在针对性攻击中被利用的零日漏洞。

...

HackerNews 编译，转载请注明出处：

网络安全研究人员披露了谷歌云平台（GCP）云运行服务（Cloud Run）的一个现已修复的权限提升漏洞。该漏洞可能会让恶意攻击者访问容器镜像，甚至注入恶意代码。

...

HackerNews 编译，转载请注明出处：

在Gmail诞生21周年之际，谷歌宣布了一项重大更新，企业用户现在只需几次点击，即可向任何平台的任何用户邮箱发送端到端加密邮件。

...

HackerNews 编译，转载请注明出处：

谷歌正在以其历史上最大的收购交易，斥资320亿美元全现金收购云安全公司Wiz。

...

HackerNews 编译，转载请注明出处：

2024 年，通过谷歌的漏洞赏金计划（VRP），660 名安全研究员因报告安全漏洞共获得了近 1200 万美元的赏金。

...

HackerNews 编译，转载请注明出处：

谷歌宣布推出人工智能（AI）驱动的欺诈检测功能，以保护 Android 设备用户及其个人信息。

...

HackerNews 编译，转载请注明出处：

...

HackerNews 编译，转载请注明出处：

谷歌云宣布在其云密钥管理服务（Cloud KMS）中引入量子安全数字签名功能，目前该功能已在预览版中提供。

...