Google 于本周发布紧急安全更新，修复了一个在野 Chromium 零日漏洞。安全研究人员警告，该漏洞已被用于攻击 Chrome 浏览器用户，全球受影响设备数以亿计。

据安全研究社区披露，该漏洞编号为 CVE-2025-10585，是一个存在于 V8 JavaScript 引擎中的严重类型混淆错误。攻击者可通过精心构造的恶意网页触发该漏洞，从而在受害者浏览器中执行任意代码。这意味着用户只需访问一个被植入恶意代码的网站，其设备就可能被完全接管。

Google 安全团队在更新公告中表示，包括 Chrome for Desktop 在内的大部分主流平台已推送修复版本。但值得注意的是，Google 同时发布了该漏洞的利用代码 —— 这一做法在安全社区引发争议。支持者认为，透明化有助于推动整个生态系统加强防御；批评者则指出，即便是出于好心公开发布，代码一旦公开就无法收回，恶意利用者完全可能据此构建攻击工具。

根据 Google 威胁分析小组的观察，相关攻击活动已进入活跃状态。攻击者通过水坑式攻击（watering hole attack）锁定特定目标群体，即那些访问特定被黑网站的用户。这种攻击方式的优势在于攻击者无需诱导用户点击任何链接，仅需用户正常浏览网页即可完成入侵。

所有 Chrome 用户应立即检查浏览器版本并更新至最新版本。用户可点击右上角菜单 → 帮助 → 关于 Chrome，浏览器将自动检测并安装更新。考虑到该漏洞已被公开利用，建议用户在完成更新后重新启动浏览器以确保补丁生效。

对于企业和组织而言，除了确保终端用户完成更新外，还应检查网络边界设备是否有针对此类攻击的检测规则。安全团队可关注 Google Security Blog 和 Chrome Releases 博客获取最新漏洞情报和补丁信息。

参考来源：

• Ars Technica:https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/
• The Hacker News:https://thehackernews.com/2026/05/google-patches-chrome-zero-day-cve-2025.html
• Google Chrome Releases:https://chromereleases.googleblog.com/2026/05/early-stable-update-for-desktop.html