緊急安全更新發布

谷歌已為其Chrome瀏覽器發布緊急安全更新，修復了三個可能導致攻擊者在用戶系統上執行任意代碼的關鍵漏洞。Windows和Mac平臺的穩定版更新版本號為138.0.7204.168/.169，Linux平臺為138.0.7204.168，該更新將在未來數日乃至數周內向全球用戶逐步推送。

高危類型混淆漏洞

最值得關注的是Chrome V8 JavaScript引擎中的兩個高危類型混淆漏洞，均由安全研究員Shaheen Fazim于2025年7月9日發現并報告。這兩個漏洞編號為CVE-2025-8010和CVE-2025-8011，對瀏覽器安全構成重大威脅。

其中CVE-2025-8010已獲得8000美元的高額漏洞賞金，表明其嚴重性和潛在影響。第二個漏洞CVE-2025-8011的賞金金額仍在評估中，但對用戶安全同樣構成嚴重威脅。

類型混淆攻擊原理

類型混淆漏洞發生在軟件使用錯誤的數據類型訪問資源時，會導致意外行為并可能引發安全漏洞。在Chrome V8 JavaScript引擎中，這類漏洞尤其危險，攻擊者可通過精心設計的網頁操縱內存分配，最終實現任意代碼執行。

網絡安全研究人員指出："類型混淆通常與釋放后使用（use-after-free）漏洞結合，是現代C++軟件（如瀏覽器）被攻陷的主要攻擊途徑。"成功利用這些漏洞可能導致堆損壞、內存損壞，最終實現任意代碼執行。

瀏覽器安全形勢嚴峻

此次更新正值基于瀏覽器的安全威脅日益增長的嚴峻時期。安全專家報告顯示，2024年漏洞數量較2023年增長61%，預計2025年漏洞總數將接近5萬個。

Chrome V8引擎已成為網絡犯罪分子的重點攻擊目標，谷歌為此提高了漏洞賞金金額，對高質量的V8漏洞報告最高獎勵2萬美元。V8 JavaScript引擎不僅驅動Chrome，還支持Microsoft Edge和Brave等基于Chromium的瀏覽器，每天處理數十億次網絡交互，使得這些漏洞尤為關鍵。

一旦被利用，這些漏洞可能使攻擊者繞過Chrome的安全沙箱，獲取底層操作系統訪問權限。安全研究人員強調用戶應立即更新瀏覽器，現代類型混淆攻擊僅需訪問惡意網站即可觸發，無需用戶額外交互。

漏洞發現與防御

攻擊通常始于攻擊者制作包含特殊設計JavaScript代碼的惡意HTML頁面，利用這些V8引擎漏洞。谷歌安全團隊還感謝了包括AddressSanitizer、MemorySanitizer和模糊測試技術在內的多項內部安全計劃，這些技術有助于在漏洞進入生產環境前發現它們。

然而，這些高危漏洞由外部研究人員發現的事實表明，保護復雜瀏覽器引擎仍面臨持續挑戰。Chrome用戶應通過"設置>關于Chrome"路徑檢查瀏覽器版本，并允許安裝所有待處理的自動更新。

鑒于這些漏洞的嚴重性及其在"路過式"（drive-by）攻擊中的潛在利用可能，強烈建議立即安裝補丁。