Chrome V8引擎爆零時差漏洞 駭客藉惡意軟體鎖定加密錢包

記者孫敬／編譯

Google Chrome的V8 JavaScript引擎近日爆出「型別混淆」（Type Confusion）零時差漏洞，漏洞編號為CVE-2025-10585。這是今年發現的第六個已被大規模利用的Chrome零時差漏洞，漏洞的CVSS評分高達8.8，駭客能透過複雜的記憶體破壞手法，繞過Chrome的沙箱保護機制，進而達到「遠端程式碼執行」（RCE）的目的。

延伸閱讀：最新臉書釣魚手法曝光 駭客利用官方轉址服務來騙取帳密

攻擊目標鎖定高價值資產，加密貨幣錢包與國家級間諜行動

這項漏洞的攻擊手法，是利用V8引擎中的TurboFan即時編譯器（JIT）在效能最佳化時的預設假設，透過惡意JavaScript程式碼，生成特殊的Proxy物件來欺騙V8的型別推斷系統。當編譯器在執行過程中，對資料型別產生錯誤的判斷時，就會產生不正確的記憶體存取模式，導致記憶體被破壞。

駭客利用這個漏洞成功執行任意程式碼，並逃離Chrome的渲染器沙箱環境。根據威脅情報報告，這些高階駭客組織通常會將此漏洞與其他權限提升漏洞串聯，以便在受害者電腦中植入惡意軟體、竊取加密貨幣私鑰，甚至進行長期性的監控。

令人擔憂的是，這種漏洞的攻擊模式屬於網路型，只要使用者造訪含有惡意程式碼的網站，就有可能成為受害者。來自Google威脅分析小組（TAG）的報告指出，部分攻擊活動與商業間諜軟體供應商及國家級駭客有關，這顯示該漏洞在情報行動中的戰略價值極高。

目前，受影響的瀏覽器版本涵蓋所有在140.0.7339.185版本之前的Chrome，以及其他基於Chromium的瀏覽器，如Microsoft Edge、Brave和Opera。Google已緊急發布修補程式，並在全球範圍內透過自動更新功能進行部署。

資料來源：Cyber Security News