谷歌Chrome多重漏洞可能导致任意代码执行

MS-ISAC咨询编号：2025-053
发布日期：2025年6月3日

概述

在Google Chrome浏览器中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。Google Chrome是用于访问互联网的网页浏览器。成功利用最严重的漏洞可能允许攻击者在已登录用户的上下文中执行任意代码。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。配置为在系统上拥有较少用户权限的账户用户可能比使用管理权限操作的用户受到的影响较小。

威胁情报

Google已知CVE-2025-5419漏洞在野外存在利用代码。

受影响系统

• Windows和Mac版Chrome 137.0.7151.68/.69之前版本
• Linux版Chrome 137.0.7151.68之前版本

风险等级

政府机构：

• 大型和中型政府实体：高
• 小型政府实体：中

企业：

• 大型和中型企业实体：高
• 小型企业实体：中

家庭用户：低

技术细节

在Google Chrome浏览器中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。这些漏洞的具体细节如下：

战术：初始访问（TA0001）
技术：路过式攻击（T1189）：

• V8引擎中的越界读取和写入（CVE-2025-5419）
• Blink引擎中的释放后使用（CVE-2025-5068）

成功利用最严重的漏洞可能允许攻击者在已登录用户的上下文中执行任意代码。根据用户的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

修复建议

我们建议采取以下措施：

1. 立即应用补丁更新

   • 经过适当测试后，立即将Google提供的适当更新应用到易受攻击的系统（M1051：更新软件）
   • 保障措施7.1：建立和维护漏洞管理流程
   • 保障措施7.4：执行自动化应用程序补丁管理
   • 保障措施7.7：修复检测到的漏洞

2. 浏览器安全管理

   • 保障措施9.1：确保仅使用完全支持的浏览器和电子邮件客户端

3. 权限管理

   • 对所有系统和服务应用最小权限原则
   • 以非特权用户身份运行所有软件（M1026：特权账户管理）
   • 保障措施4.7：管理企业资产和软件上的默认账户
   • 保障措施5.4：将管理员权限限制为专用管理员账户

4. 应用程序隔离和沙箱保护

   • 将代码执行限制在端点系统上或传输到端点系统的虚拟环境中（M1048：应用程序隔离和沙箱）

5. 利用防护

   • 使用功能检测和阻止可能导致或指示软件利用发生的条件（M1050：利用防护）
   • 保障措施10.5：启用反利用功能

6. 网络内容限制

   • 限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于网络的内容）
   • 保障措施9.2：使用DNS过滤服务
   • 保障措施9.3：维护和执行基于网络的URL过滤器
   • 保障措施9.6：阻止不必要的文件类型

7. 用户安全意识培训

   • 告知和教育用户有关电子邮件或附件中超链接带来的威胁（M1017：用户培训）
   • 保障措施14.1：建立和维护安全意识计划
   • 保障措施14.2：培训员工识别社会工程攻击

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-5419
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-5068

Google：

• https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html