谷歌Chrome多漏洞可导致任意代码执行
MS-ISAC 公告编号:2025-018
发布日期:2025年2月12日
概述
谷歌Chrome浏览器中发现多个漏洞,其中最严重的漏洞可能允许攻击者执行任意代码。成功利用最严重的漏洞可使攻击者在已登录用户的上下文中执行任意代码。根据用户的权限,攻击者可能安装程序、查看、更改或删除数据,或创建具有完全用户权限的新账户。系统权限较低的用户账户受影响程度可能低于具有管理权限的用户。
威胁情报
目前尚未发现这些漏洞在野被利用的报告。
受影响系统
- Windows 和 Mac 版本低于 133.0.6943.98/.99 的 Chrome
- Linux 版本低于 133.0.6943.98 的 Chrome
风险等级
- 政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
- 企业:
- 大型和中型企业实体:高
- 小型企业实体:中
- 家庭用户:低
技术详情
谷歌Chrome中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。具体漏洞如下:
战术:初始访问(TA0001)
技术:驱动式攻击(T1189):
- V8 中的释放后使用(CVE-2025-0995)
- 导航中的释放后使用(CVE-2025-0997)
- V8 中的越界内存访问(CVE-2025-0998)
其他较低严重性漏洞:
- 浏览器 UI 中的不当实现(CVE-2025-0996)
成功利用最严重的漏洞可使攻击者在已登录用户的上下文中执行任意代码。根据用户的权限,攻击者可能安装程序、查看、更改或删除数据,或创建具有完全用户权限的新账户。系统权限较低的用户账户受影响程度可能低于具有管理权限的用户。
修复建议
建议采取以下措施:
-
立即应用谷歌提供的更新(在适当测试后):
- 维护漏洞管理流程(保障措施 7.1)
- 每月或更频繁执行自动化应用程序补丁管理(保障措施 7.4)
- 每月或更频繁修复检测到的漏洞(保障措施 7.7)
- 确保仅使用完全支持的浏览器和电子邮件客户端(保障措施 9.1)
-
对所有系统和服务应用最小权限原则:
- 以非特权用户身份运行所有软件(M1026:特权账户管理)
- 管理企业资产和软件上的默认账户(保障措施 4.7)
- 将管理员权限限制为专用管理员账户(保障措施 5.4)
-
将代码执行限制到虚拟环境(M1048:应用程序隔离和沙箱)
-
使用能力检测和阻止可能导致或指示软件利用的条件(M1050:利用保护):
- 启用反利用功能,如 Microsoft® DEP、Windows® Defender Exploit Guard 或 Apple® SIP 和 Gatekeeper™(保障措施 10.5)
-
限制某些网站的使用,阻止下载/附件,阻止 JavaScript,限制浏览器扩展等(M1021:限制基于Web的内容):
- 使用 DNS 过滤服务阻止已知恶意域名(保障措施 9.2)
- 维护和执行基于网络的 URL 过滤器(保障措施 9.3)
- 阻止不必要的文件类型进入企业电子邮件网关(保障措施 9.6)
-
告知和教育用户有关电子邮件或附件中超链接的威胁(M1017:用户培训):
- 建立和维护安全意识计划(保障措施 14.1)
- 培训员工识别社会工程攻击(保障措施 14.2)