您的位置:首页 > google Chrome浏览器插件安全漏洞修复案例
google Chrome浏览器插件安全漏洞修复案例
来源:谷歌浏览器官网
时间:2025-12-24
Read&Write Chrome Extension 同源策略绕过漏洞
- 漏洞描述:Read&Write Chrome Extension 1.8.0.139 版本存在同源策略绕过漏洞。该插件缺少对正常交互网页请求源的安全检查,导致任意网页都可以调用其后台特权页面 API 来执行多种存在风险的操作。比如,利用名为 “thGetVoices” 方法的后台 API 调用方式,可以用插件执行一个任意 URL 链接的检索,并用 postMessage 方式来进行响应通信,攻击者可借此劫持插件读取恶意且未经验证的会话数据。
- 影响范围:由于该版本插件在线下载使用量较大,在漏洞上报前估计有八百万用户受到影响。
- 修复措施:谷歌在发现此漏洞后,及时对该插件进行了更新修复,加强了对请求源的安全检查,防止了任意网页对插件后台 API 的恶意调用。
V8 JavaScript 和 WebAssembly 引擎类型混淆错误漏洞
- 漏洞描述:Chrome 浏览器中发现的 CVE-2024-7971 漏洞,是位于 V8 JavaScript 和 WebAssembly 引擎中的类型混淆错误。此类漏洞可能被攻击者利用,导致浏览器出现异常行为甚至被恶意控制。
- 修复情况:Google 推出了新的安全修复程序来解决此问题,用户可通过更新 Chrome 浏览器到最新版本来获取修复。
Chrome 零日漏洞
- 漏洞描述:如 CVE-2025-5419,该零日漏洞正遭活跃利用,攻击者可利用此漏洞执行任意代码,严重威胁用户隐私和系统安全。
- 修复措施:谷歌紧急发布更新,Chrome 用户应立即通过 “设置 > 关于 Chrome” 更新浏览器,系统将自动下载安装最新版本,以修复该漏洞。
