美国网络安全与基础设施安全局(CISA)发布紧急预警,威胁攻击者正在积极利用谷歌 Chromium 浏览器引擎中的高危漏洞(CVE-2025-6558)。该漏洞影响所有基于 Chromium 内核的浏览器,包括 Chrome、Edge 和 Opera 等,对数百万用户构成重大安全风险。
核心要点
- 漏洞可通过恶意 HTML 实现沙箱逃逸
- 影响所有 Chromium 内核浏览器(Chrome/Edge/Opera)
- CISA 要求 2025 年 8 月 12 日前完成补丁修复
输入验证缺陷漏洞分析(CVE-2025-6558)
该漏洞源于 Chromium 的 ANGLE(准原生图形层引擎)与 GPU 组件中的输入验证缺陷,被归类为 CWE-20 通用弱点枚举。攻击者可利用此技术缺陷实施远程沙箱逃逸攻击——通过精心构造的 HTML 页面突破浏览器安全沙箱,绕过防护网络威胁的基础安全机制。
安全研究人员发现,当浏览器处理特定图形操作(尤其是涉及 GPU 加速和 ANGLE 的 OpenGL ES 实现时)会出现输入验证错误。恶意网站可借此突破浏览器受限执行环境,获取未授权访问权限。
广泛影响范围
该漏洞影响范围远超谷歌 Chrome,波及整个 Chromium 生态。由于微软 Edge 和 Opera 等主流浏览器均采用相同 Chromium 代码库,使得跨平台、跨操作系统的数亿用户面临风险。
攻击原理与风险要素
攻击者通过托管包含特制 HTML 页面的恶意网站触发漏洞。成功利用后,可实现:
- 安装恶意软件
- 窃取敏感数据
- 建立持久化系统访问
| 风险要素 | 详细说明 |
|---|---|
| 受影响产品 | 谷歌 Chrome、微软 Edge、Opera 等所有 Chromium 内核浏览器 |
| 潜在影响 | 沙箱逃逸、远程代码执行、绕过浏览器安全控制 |
| 利用条件 | 特制 HTML 页面、用户访问恶意网站、触发 ANGLE/GPU 处理 |
| CVSS 3.1 评分 | 8. 8(高危) |
缓解措施
CISA 已将该漏洞列入已知被利用漏洞目录(2025 年 7 月 22 日),并设定 2025 年 8 月 12 日为最终修复期限。根据第 22-01 号约束性操作指令(BOD),机构必须立即应用厂商补丁,无法修复的系统应停用受影响产品。
谷歌已通过稳定渠道发布更新补丁,用户和管理员应优先升级至最新版本以防范攻击。
参考来源:
CISA warns of Google Chromium 0-Day Input Validation Vulnerability Exploited in Attacks
