Chrome高危漏洞可导致任意代码执行

MS-ISAC通告编号：2025-030
发布日期：2025年3月21日

概述

谷歌Chrome浏览器中发现一个可导致任意代码执行的安全漏洞。成功利用此漏洞的攻击者能够在已登录用户权限下执行任意代码。根据用户权限的不同，攻击者可能安装程序、查看/修改/删除数据，或创建具有完全用户权限的新账户。系统权限较低的用户受影响程度可能低于具有管理员权限的用户。

威胁情报

目前尚未发现该漏洞在野利用的报告。

受影响系统

• Windows和Mac版Chrome 134.0.6998.117/.118之前版本
• Linux版Chrome 134.0.6998.117之前版本

风险等级

政府机构：

• 大中型政府实体：高危
• 小型政府实体：中危

企业：

• 大中型企业实体：高危
• 小型企业实体：中危

家庭用户：低危

技术细节

该漏洞技术细节如下：

战术：初始访问（TA0001）
技术：路过式下载（T1189）
漏洞类型：Lens组件释放后使用（CVE-2025-2476）

成功利用此漏洞可在已登录用户上下文执行任意代码。攻击者可能根据用户权限安装程序、访问/修改/删除数据，或创建具有完全权限的新账户。

修复建议

建议采取以下措施：

1. 立即应用更新
   经过适当测试后立即为受影响系统安装谷歌提供的安全更新（M1051：更新软件）

   • 安全措施7.1：建立和维护漏洞管理流程
   • 安全措施7.4：执行自动化应用补丁管理
   • 安全措施7.7：定期修复检测到的漏洞

2. 实施最小权限原则
   所有系统和服务都应遵循最小权限原则，以非特权用户身份运行软件（M1026：特权账户管理）

   • 安全措施4.7：管理默认账户
   • 安全措施5.4：限制管理员权限

3. 代码执行限制
   限制代码在虚拟环境或传输到终端系统时的执行（M1048：应用隔离和沙箱技术）

4. 利用防护
   使用能力检测和阻止可能导致软件利用的条件（M1050：利用防护）

   • 安全措施10.5：启用反利用功能

5. 内容限制
   限制特定网站使用，阻止下载/附件，限制JavaScript执行等（M1021：限制基于Web的内容）

   • 安全措施9.2：使用DNS过滤服务
   • 安全措施9.3：维护网络URL过滤器
   • 安全措施9.6：阻止不必要的文件类型

6. 用户教育
   培训用户识别社会工程学攻击（M1017：用户培训）

   • 安全措施14.1：建立安全意识计划
   • 安全措施14.2：培训识别社会工程学攻击

参考链接

• CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-2476
• 谷歌公告：https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_19.html