谷歌Chrome漏洞可能导致任意代码执行
MS-ISAC咨询编号:2025-052
发布日期:2025年5月15日
概述
在Google Chrome中发现了一个可能允许任意代码执行的漏洞。成功利用此漏洞可以在已登录用户的上下文中执行任意代码。根据用户的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。在系统上配置了较少用户权限的账户用户可能比具有管理用户权限的用户受到的影响更小。
威胁情报
目前没有关于此漏洞在野外被利用的报告。
受影响系统
- Windows和Mac版Chrome 136.0.7103.113/.114之前版本
- Linux版Chrome 136.0.7103.113之前版本
风险等级
政府机构:
- 大中型政府实体:高
- 小型政府实体:中
企业:
- 大中型企业实体:高
- 小型企业实体:中
家庭用户:低
技术摘要
在Google Chrome中发现了一个可能允许任意代码执行的漏洞。漏洞详情如下:
战术:初始访问(TA0001)
技术:路过式攻击(T1189)
- Loader中策略执行不充分(CVE-2025-4664)
- Mojo在未指定情况下提供不正确的句柄(CVE-2025-4609)
成功利用此漏洞可以在已登录用户的上下文中执行任意代码。根据用户的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新账户。
建议措施
我们建议采取以下行动:
软件更新与漏洞管理
- 立即应用更新:在适当测试后立即为易受攻击的系统应用Google提供的适当更新(M1051:更新软件)
- 维护漏洞管理流程(保障措施7.1):建立和维护企业资产的文档化漏洞管理流程,每年审查和更新文档
- 自动化应用补丁管理(保障措施7.4):每月或更频繁地通过自动化补丁管理执行企业资产的应用更新
- 修复检测到的漏洞(保障措施7.7):每月或更频繁地基于修复流程通过流程和工具修复软件中检测到的漏洞
浏览器与客户端安全
- 仅使用完全支持的浏览器(保障措施9.1):确保企业只允许执行完全支持的浏览器和电子邮件客户端,仅使用供应商提供的最新版本
权限管理
- 应用最小权限原则:对所有系统和服务应用最小权限原则,以非特权用户身份运行所有软件(M1026:特权账户管理)
- 管理默认账户(保障措施4.7):管理企业资产和软件上的默认账户,如root、管理员和其他预配置的供应商账户
- 限制管理员权限(保障措施5.4):将管理员权限限制在企业资产上的专用管理员账户
执行环境隔离
- 限制代码执行环境:将代码执行限制在端点系统上或传输到端点系统的虚拟环境中(M1048:应用程序隔离和沙箱)
利用防护
- 启用防利用功能(保障措施10.5):尽可能在企业资产和软件上启用防利用功能,如Microsoft®数据执行防护(DEP)、Windows® Defender Exploit Guard(WDEG)或Apple®系统完整性保护(SIP)和Gatekeeper™
- 检测和阻止利用条件:使用功能检测和阻止可能导致或指示软件利用发生的条件(M1050:利用防护)
网络内容限制
- 限制网站使用和下载:限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等(M1021:限制基于Web的内容)
- 使用DNS过滤服务(保障措施9.2):在所有企业资产上使用DNS过滤服务以阻止访问已知恶意域
- 维护URL过滤器(保障措施9.3):强制执行和更新基于网络的URL过滤器,限制企业资产连接到潜在恶意或未经批准的网站
- 阻止不必要的文件类型(保障措施9.6):阻止试图进入企业电子邮件网关的不必要文件类型
用户培训与意识
- 用户教育与培训:告知和教育用户有关电子邮件或附件中包含的超链接带来的威胁(M1017:用户培训)
- 建立安全意识计划(保障措施14.1):建立和维护安全意识计划,教育企业员工如何安全地与企业资产和数据交互
- 识别社会工程攻击(保障措施14.2):培训员工识别社会工程攻击,如网络钓鱼、 pretexting和尾随
参考链接
CVE:
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-4664
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-4609
Google: