谷歌Chrome漏洞可能导致任意代码执行

MS-ISAC 公告编号：2025-061
发布日期：2025年7月2日

概述

谷歌Chrome浏览器中发现了一个可能允许任意代码执行的漏洞。成功利用此漏洞可使攻击者在已登录用户上下文中执行任意代码。根据用户权限，攻击者可能安装程序、查看/修改/删除数据，或创建具有完全用户权限的新账户。系统权限较低的用户受影响程度可能低于具有管理员权限的用户。

威胁情报

CISA已基于活跃利用证据将CVE-2025-6554添加到其已知被利用漏洞（KEV）目录中。

受影响系统

• Windows版Chrome 138.0.7204.96/.97之前版本
• Mac版Chrome 138.0.7204.92/.93之前版本
• Linux版Chrome 138.0.7204.92之前版本

风险等级

政府机构：

• 大中型政府实体：高风险
• 小型政府实体：中等风险

企业：

• 大中型企业实体：高风险
• 小型企业实体：中等风险

家庭用户：低风险

技术摘要

谷歌Chrome中发现了一个可能允许任意代码执行的漏洞，技术细节如下：

战术：初始访问（TA0001）
技术：路过式下载（T1189）
漏洞类型：V8引擎类型混淆（CVE-2025-6554）

成功利用此漏洞可在已登录用户上下文中执行任意代码。攻击者可能根据用户权限安装程序、访问/修改数据或创建新账户。

修复建议

建议采取以下措施：

1. 立即应用更新（M1051：更新软件）

   • 经过适当测试后立即为受影响系统应用谷歌提供的更新
   • 防护措施7.1：建立和维护漏洞管理流程
   • 防护措施7.4：执行自动化应用补丁管理（每月或更频繁）
   • 防护措施7.7：修复检测到的漏洞（每月或更频繁）

2. 实施最小权限原则（M1026：特权账户管理）

   • 所有系统和服务运行在非特权用户模式下
   • 防护措施4.7：管理企业资产和软件的默认账户
   • 防护措施5.4：将管理员权限限制在专用管理员账户

3. 代码执行限制（M1048：应用隔离和沙箱）

   • 在虚拟环境中限制代码执行

4. 利用防护（M1050：利用保护）

   • 启用反利用功能（如DEP、WDEG、SIP、Gatekeeper等）
   • 防护措施10.5：启用反利用功能

5. 网络内容限制（M1021：限制基于网络的内容）

   • 限制特定网站访问，阻止下载/附件，禁用JavaScript等
   • 防护措施9.2：使用DNS过滤服务
   • 防护措施9.3：维护和执行基于网络的URL过滤
   • 防护措施9.6：阻止不必要的文件类型

6. 用户培训（M1017：用户培训）

   • 教育用户识别电子邮件中的超链接威胁
   • 防护措施14.1：建立和维护安全意识计划
   • 防护措施14.2：培训员工识别社会工程攻击

浏览器和客户端管理

• 防护措施9.1：确保仅使用完全支持的浏览器和电子邮件客户端
• 仅使用供应商提供的最新版本浏览器和邮件客户端

参考文献

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-6554
• 谷歌：https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html