1. 零日漏洞攻击事件
- 2025年3月,卡巴斯基研究人员发现攻击者利用Chrome零日漏洞(CVE-2025-2783)绕过沙箱保护,通过浏览器与Windows交互的逻辑错误执行恶意代码。谷歌紧急发布补丁修复,但未披露具体插件关联。
2. V8引擎高危漏洞
- JavaScript引擎V8存在堆缓冲区溢出漏洞(CVE-2025-0999),攻击者可通过恶意网页触发越界读写,绕过沙箱防护,导致内存泄露或代码执行。该漏洞由安全研究员@0x10n报告,谷歌支付11000美元赏金。
3. 渲染引擎释放后使用漏洞
- Blink渲染引擎存在释放后使用缺陷(CVE-2025-5068),可能导致内存访问异常。安全研究员Walkman于4月报告此中危漏洞,谷歌修复后颁发1000美元赏金。
4. 插件权限滥用风险
- 部分插件请求过度权限(如读取浏览历史、文件访问),若被恶意利用,可能窃取用户数据或执行非法操作。建议用户定期检查插件权限,禁用非必要扩展。