谷歌Chrome多重漏洞可导致任意代码执行

MS-ISAC公告编号：2025-020
发布日期：2025年3月11日

概述

谷歌Chrome浏览器中发现多个安全漏洞，其中最严重的漏洞可能允许攻击者执行任意代码。成功利用这些漏洞可使攻击者在已登录用户权限下执行任意代码。根据用户权限的不同，攻击者可能安装程序、查看/修改/删除数据，或创建具有完全用户权限的新账户。系统权限配置较低的用户受影响程度可能低于具有管理员权限的用户。

威胁情报

目前尚未发现这些漏洞在野被利用的报告。

受影响系统

• Windows和Mac版Chrome 134.0.6998.88/.89之前版本
• Linux版Chrome 134.0.6998.88之前版本

风险等级

政府机构：

• 大中型政府实体：高危
• 小型政府实体：中危

企业：

• 大中型企业实体：高危
• 小型企业实体：中危

家庭用户： 低危

技术细节

谷歌Chrome中存在多个安全漏洞，最严重的可导致任意代码执行。具体漏洞详情如下：

战术：初始访问（TA0001）
技术：驱动式攻击（T1189）

• V8类型混淆漏洞（CVE-2025-1920, CVE-2025-2135）
• GPU越界写入漏洞（CVE-TBD）
• Inspector释放后使用漏洞（CVE-2025-2136）
• V8越界读取漏洞（CVE-2025-2137）

成功利用最严重漏洞可在已登录用户上下文执行任意代码。根据用户权限，攻击者可安装程序、查看/修改/删除数据，或创建具有完全权限的新账户。

修复建议

建议采取以下措施：

1. 立即应用更新

   • 经过适当测试后立即为受影响系统安装谷歌提供的更新（M1051：更新软件）
   • 保障措施7.1：建立和维护漏洞管理流程
   • 保障措施7.4：执行自动化应用补丁管理
   • 保障措施7.7：每月修复检测到的漏洞
   • 保障措施9.1：确保仅使用完全支持的浏览器和邮件客户端

2. 实施最小权限原则

   • 所有系统和服务实施最小权限原则，以非特权用户身份运行软件（M1026：特权账户管理）
   • 保障措施4.7：管理企业资产和软件的默认账户
   • 保障措施5.4：将管理员权限限制为专用管理员账户

3. 代码执行限制

   • 将代码执行限制在端点系统的虚拟环境中（M1048：应用隔离和沙箱）

4. 利用防护功能

   • 使用检测和阻止软件利用的功能（M1050：利用防护）
   • 保障措施10.5：启用反利用功能（如DEP、WDEG、SIP等）

5. 网络内容限制

   • 限制特定网站使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制网络内容）
   • 保障措施9.2：使用DNS过滤服务
   • 保障措施9.3：维护和执行基于网络的URL过滤
   • 保障措施9.6：阻止不必要的文件类型

6. 用户安全意识培训

   • 教育用户识别电子邮件或附件中的超链接威胁（M1017：用户培训）
   • 保障措施14.1：建立和维护安全意识计划
   • 保障措施14.2：培训员工识别社会工程攻击

参考链接

CVE编号：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-1920
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-2135
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-2136
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-2137

谷歌官方公告： https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html