因 V8 引擎类型混淆引起的缺陷，Chromium 零日漏洞正在被利用 事件

因 V8 引擎类型混淆引起的缺陷，Chromium 零日漏洞正在被利用 Google 于本周发布紧急安全更新，修复了一个在野 Chromium 零日漏洞。安全研究人员警告，该漏洞已被用于攻击 Chrome 浏览器用户，全球受影响设备数以亿计。 据安全研究社区披露，该漏洞编号为 CVE-2025-10585，是一个存在于 V8 JavaScript 引擎中的严重类型混淆错误。攻击者可通过精心构造的恶意网页触发该漏洞，从而在受害者浏览器中执行任意代码。这意味着用户只需访问一个被植入恶意代码的网站，其设备就可能被完全接管。 Google 安全团队在更新公告中表示，包括 Chrome for Desktop 在内的大部分主流平台已推送修复版本。但值得注意的是，Google 同时发布了该漏洞的利用代码 —— 这一做法在安全社区引发争议。支持者认为，透明化有助于推动整个生态系统加强防御；批评者则指出，即便是出于好心公开发布，代码一旦公开就无法收回，恶意利用者完全可能据此构建攻击工具。 根据 Google 威胁分析小组的观察，相关攻击活动已进入活跃状态。攻击者通过水坑式攻击（waterin