谷歌周三发布了 Chrome 浏览器的安全更新，以修复四个漏洞，其中包括一个已被发现遭到实际利用的漏洞。

这个零日漏洞编号为 CVE-2025-10585，被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆问题。

类型混淆漏洞可能带来严重后果，因为攻击者可以利用它触发意外的软件行为，从而执行任意代码或导致程序崩溃。

谷歌威胁分析小组（TAG）被认为在 2025 年 9 月 16 日发现并上报了该漏洞。

按照惯例，谷歌没有分享该漏洞在现实攻击中是如何被利用的、由谁利用的，或相关攻击的规模。这么做是为了防止其他威胁行为者在用户打上补丁之前进一步利用该问题。

“谷歌已经意识到 CVE-2025-10585 的漏洞利用程序在野外存在。”谷歌在一份简短的安全通告中承认道。

CVE-2025-10585 是今年以来 Chrome 浏览器中第六个已被主动利用或已被证明存在概念验证（PoC）的零日漏洞。此前的漏洞包括：CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554 和 CVE-2025-6558。

为了防范潜在威胁，建议用户将 Chrome 浏览器更新至以下版本：Windows 和 Apple macOS 用户更新到 140.0.7339.185/.186，Linux 用户更新到 140.0.7339.185。
要确保安装了最新更新，用户可以进入 更多 > 帮助 > 关于 Google Chrome，然后选择 重新启动。

使用其他基于 Chromium 的浏览器（如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户，也建议在相关修复发布后及时进行更新。

谷歌已经推出安全修复程序，以解决其 Chrome 浏览器的一个高严重性安全漏洞，该漏洞已被广泛利用。

该漏洞被编号为CVE-2024-7971，被描述为 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。

根据NIST 国家漏洞数据库 (NVD) 中对该漏洞的描述，“128.0.6613.84 之前的 Google Chrome 版本中的 V8 中的类型混淆允许远程攻击者通过精心设计的 HTML 页面利用堆损坏”。

微软威胁情报中心 (MSTIC) 和微软安全响应中心 (MSRC) 于 2024 年 8 月 19 日发现并报告了该漏洞。

目前尚未发布关于利用此漏洞进行攻击的性质或可能将其武器化的威胁行为者的身份的更多详细信息，主要是为了确保大多数用户都得到修复。

然而，这家科技巨头在一份简短的声明中承认，它“意识到 CVE-2024-7971 漏洞正在被利用”。值得一提的是，CVE-2024-7971 是继 CVE-2024-4947 和 CVE-2024-5274 之后，该公司今年在 V8 中修复的第三个类型混淆漏洞。

自 2024 年初以来，谷歌已解决了 Chrome 中的 9 个零日漏洞，其中包括在 Pwn2Own 2024 上演示的三个漏洞 -

CVE-2024-0519 - V8 中的越界内存访问
CVE-2024-2886 - WebCodecs 中的释放后使用（在 Pwn2Own 2024 上演示）
CVE-2024-2887 - WebAssembly 中的类型混淆（在 Pwn2Own 2024 上演示）
CVE-2024-3159 - V8 中的越界内存访问（在 Pwn2Own 2024 上演示）
CVE-2024-4671 - 视觉效果中的释放后使用
CVE-2024-4761 - V8 中的越界写入
CVE-2024-4947 – V8 中的类型混淆
CVE-2024-5274 – V8 中的类型混淆

建议用户将 Windows 和 macOS 版 Chrome 升级到 128.0.6613.84/.85 版本，将 Linux 版升级到 128.0.6613.84 版本，以减轻潜在威胁。

还建议基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera 和 Vivaldi）的用户在修复程序可用时立即应用它们。