概述
在谷歌Chrome浏览器中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。成功利用最严重的漏洞可能允许在登录用户上下文环境中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。
威胁情报
谷歌已意识到CVE-2025-13223漏洞在野利用的存在。
受影响系统
- Windows和MAC:Chrome 142.0.7444.175/.176之前版本
- Linux:Chrome 142.0.7444.175之前版本
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户: 低
技术详情
在谷歌Chrome浏览器中发现多个漏洞,其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下:
战术: 初始访问(TA0001) 技术: 路过式下载(T1189)
- V8中的类型混淆(CVE-2025-13223,CVE-2025-13224)
成功利用最严重的漏洞可能允许在登录用户上下文环境中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。
修复建议
我们建议采取以下措施:
-
应用补丁
- 经过适当测试后立即通过谷歌向易受攻击的系统应用适当的更新
- 维护漏洞管理流程
- 每月或更频繁地执行自动化应用程序补丁管理
- 每月或更频繁地修复检测到的漏洞
- 确保仅使用完全支持的浏览器和电子邮件客户端
-
权限管理
- 对所有系统和服务应用最小权限原则
- 以非特权用户身份运行所有软件
- 管理企业资产和软件上的默认账户
- 将管理员权限限制为专用管理员账户
-
安全防护
- 将代码执行限制在端点系统上或传输至端点系统的虚拟环境中
- 使用功能检测和阻止可能导致或指示软件利用发生的条件
- 启用反利用功能
- 限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等
- 使用DNS过滤服务
- 维护和执行基于网络的URL过滤器
- 阻止不必要的文件类型
-
用户教育
- 告知和教育用户有关电子邮件或附件中包含的超链接带来的威胁
- 提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接
- 建立和维护安全意识计划
- 培训员工识别社会工程攻击
参考链接
CVE:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-13223
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-13224
谷歌: