CVE-2025-11207CVE-2025-11207是Google Chrome中Storage组件的一个侧信道信息泄露漏洞。该漏洞存在于Chrome 141.0.7390.54之前的版本,攻击者可以通过精心设计的HTML页面利用浏览器的存储机制泄露敏感信息。攻击者能够读取和修改存储在浏览器中的数据,包括用户会话信息、认证令牌、用户偏好设置等。由于该漏洞利用无需用户交互且无需认证,因此具有较高的实际威胁性。此类侧信道攻击通常利用浏览器的时序特性或存储访问模式的差异来推断敏感信息。
该漏洞属于侧信道攻击类型,攻击者通过分析浏览器存储访问的时间特性和模式差异来获取敏感信息。攻击者构造恶意的HTML页面,利用浏览器的Storage API(如localStorage、sessionStorage或IndexedDB)创建特定的访问模式。通过测量存储操作的响应时间或观察存储访问是否触发特定行为,攻击者可以推断出存储中是否存在某些数据或数据的特征。这种攻击方式绕过了浏览器的同源策略限制,允许攻击者获取其他域的敏感信息。攻击者利用精心设计的时间测量脚本和存储访问序列,能够重建存储内容的部分或全部信息。