CVE-2025-11215 Google Chrome V8 Off by One越界内存读取漏洞

披露日期: 2025-11-06

来源: [email protected]

漏洞信息

漏洞编号

CVE-2025-11215

漏洞类型

越界内存读取（Off by One Error）

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Google Chrome（V8 JavaScript引擎）

漏洞概述

这是Google Chrome V8引擎中的差一错误漏洞。攻击者可通过构造恶意HTML页面诱导用户访问，当V8引擎处理JavaScript代码时出现边界计算错误，导致读取超出预期缓冲区范围的内存内容。

技术细节

差一错误发生在V8引擎的内存管理逻辑中，当计算数组边界或对象属性偏移时，少计算了一个字节。攻击者精心构造的JavaScript代码可以触发这一错误，使得V8读取相邻内存区域的数据。

攻击链分析

STEP 1

步骤1

攻击者创建包含恶意JavaScript的HTML页面

STEP 2

步骤2

诱导用户访问该页面

STEP 3

步骤3

V8引擎执行代码时触发差一错误

STEP 4

步骤4

攻击者读取超出缓冲区的内存数据

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

需要用户提供PoC代码

影响范围

Google Chrome < 141.0.7390.54

防御指南

临时缓解措施

临时措施：禁用JavaScript或使用其他浏览器

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表