Google 緊急修補 Chrome V8 零日漏洞 已遭駭客積極利用

Google 於近日發布 Chrome 瀏覽器緊急安全更新，修補正在被積極利用的零日漏洞 CVE-2025-13223。這個存在於 V8 JavaScript 引擎的高風險漏洞可讓攻擊者透過惡意網頁執行任意程式碼，已證實遭駭客用於實際攻擊。這是 2025 年第 7 個遭攻擊的 Chrome 零日漏洞，資安專家呼籲全球用戶與企業立即更新瀏覽器。

漏洞可透過惡意網頁竄改系統

根據 Google 官方資安公告，CVE-2025-13223 是一個類別混淆漏洞(Type Confusion)，CVSS 風險評分達到 8.8 分，屬於高嚴重性等級。這個漏洞存在於 Chrome 的 V8 JavaScript 和 WebAssembly 引擎中，攻擊者可利用精心設計的惡意 HTML 網頁觸發堆積記憶體損毀(Heap Corruption)，進而執行任意程式碼或導致程式崩潰。

美國國家標準技術研究院(NIST)國家漏洞資料庫描述指出，142.0.7444.175 版本之前的 Chrome 瀏覽器都受到影響。這意味著全球數十億 Chrome 用戶在更新前都暴露在攻擊風險之中。

Google 威脅分析小組發現攻擊活動

這個零日漏洞由 Google 威脅分析小組(TAG)研究員 Clément Lecigne 於 2025 年 11 月 12 日發現並回報。Google 在公告中明確警告:「CVE-2025-13223 的漏洞利用程式已在實際攻擊中被使用。」

然而，Google 目前未透露攻擊者身份、攻擊目標對象，以及攻擊規模等細節。根據過往經驗，Google TAG 經常發現政府支持的駭客組織利用零日漏洞發動間諜軟體攻擊，目標通常鎖定記者、反對派政治人物、異議人士等高風險族群。

今年第三起 V8 引擎類別混淆攻擊

CVE-2025-13223 是 2025 年第三個遭積極利用的 V8 引擎型別混淆漏洞，前兩個分別是 CVE-2025-6554 和 CVE-2025-10585，顯示這類攻擊手法已成為駭客鎖定 Chrome 瀏覽器的主要途徑。

此次更新也一併修補另一個由 Google 人工智慧代理程式 Big Sleep 發現的 V8 型別混淆漏洞 CVE-2025-13224，同樣為 CVSS 8.8 分的高風險漏洞，但目前尚未有被利用的證據。

自 2025 年初至今，Google 已修補 7 個遭實際攻擊或展示概念驗證攻擊的 Chrome 零日漏洞，包括 CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554、CVE-2025-6558 和 CVE-2025-10585。相較之下，2024 年全年共修補 10 個零日漏洞，顯示瀏覽器安全威脅持續升溫。

台灣企業應立即部署更新

對於仰賴瀏覽器處理日常業務的台灣企業而言，這個零日漏洞帶來的風險不容小覷。攻擊者可能透過釣魚郵件、惡意廣告或被入侵的合法網站散布攻擊程式，一旦員工瀏覽惡意網頁，就可能導致帳號被劫持、機敏資料外洩，甚至成為勒索軟體攻擊的入口。

Google 已釋出修補版本，Windows 使用者應更新至 142.0.7444.175 或 142.0.7444.176 版，macOS 使用者應更新至 142.0.7444.176 版，Linux 使用者則應更新至 142.0.7444.175 版。雖然 Chrome 會自動更新，但使用者可透過「更多」選單中的「說明」>「關於 Google Chrome」確認版本，並點選「重新啟動」完成安裝。

此外，使用 Chromium 核心的其他瀏覽器，包括 Microsoft Edge、Brave、Opera 和 Vivaldi 等，也建議在廠商釋出修補程式後儘速更新。企業 IT 部門應優先將此更新納入緊急部署排程，並監控網路流量是否有異常活動跡象。