谷歌Chrome漏洞可能导致任意代码执行

MS-ISAC 公告编号：2025-038
发布日期：2025年4月8日

概述

谷歌Chrome浏览器中发现一个安全漏洞，可能允许攻击者执行任意代码。成功利用此漏洞可使攻击者在已登录用户权限上下文中执行代码。根据用户权限的不同，攻击者可能安装程序、查看/修改/删除数据，或创建具有完全用户权限的新账户。系统权限较低的用户受影响程度可能低于具有管理员权限的用户。

威胁情报

目前未发现该漏洞在野利用的报告。

受影响系统

• Windows和Mac平台：Chrome 135.0.7049.84/.85之前版本
• Linux平台：Chrome 135.0.7049.84之前版本

风险等级

政府机构：

• 大中型政府实体：高
• 小型政府实体：中

企业：

• 大中型企业实体：高
• 小型企业实体：中

家庭用户：低

技术详情

谷歌Chrome中存在一个可导致任意代码执行的漏洞，具体细节如下：

战术：初始访问（TA0001）
技术：驱动式攻击（T1189）

• Site Isolation组件释放后使用漏洞（CVE-2025-3066）

成功利用此漏洞可在已登录用户上下文执行任意代码。根据用户权限，攻击者可安装程序、查看/修改/删除数据，或创建具有完全权限的新账户。系统权限较低的用户受影响程度较轻。

修复建议

建议采取以下措施：

1. 立即应用更新

   • 经过适当测试后立即为受影响系统安装谷歌提供的更新（M1051：软件更新）
   • 维护漏洞管理流程（保障措施7.1）
   • 每月执行自动化应用程序补丁管理（保障措施7.4）
   • 每月修复检测到的漏洞（保障措施7.7）
   • 确保仅使用完全支持的浏览器最新版本（保障措施9.1）

2. 实施最小权限原则

   • 所有系统和服务运行于非特权用户账户（M1026：特权账户管理）
   • 管理企业资产默认账户（保障措施4.7）
   • 将管理员权限限制于专用管理员账户（保障措施5.4）

3. 代码执行限制

   • 在虚拟环境中限制代码执行（M1048：应用程序隔离和沙箱）

4. 利用防护

   • 启用反利用功能检测和阻止漏洞利用（M1050：利用保护）
   • 启用企业资产反利用功能（保障措施10.5）

5. 网络内容限制

   • 限制特定网站访问，阻止下载/附件，禁用JavaScript等（M1021：限制基于网络的内容）
   • 使用DNS过滤服务阻止恶意域名（保障措施9.2）
   • 维护网络URL过滤器（保障措施9.3）
   • 阻止不必要的文件类型（保障措施9.6）

6. 用户安全意识培训

   • 教育用户识别电子邮件中的超链接威胁（M1017：用户培训）
   • 建立和维护安全意识计划（保障措施14.1）
   • 培训员工识别社会工程攻击（保障措施14.2）

参考资源

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-3066
• 谷歌：https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_8.html