多平台Google Chrome漏洞可能导致任意代码执行
MS-ISAC 安全公告编号:2025-109 发布日期:2024年11月24日
概述
谷歌Chrome浏览器中发现了多个漏洞,其中最严重的漏洞可能允许执行任意代码。成功利用最严重的这些漏洞,可能允许在已登录用户的上下文中执行任意代码。根据与用户关联的权限,攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。系统中用户权限较少的帐户用户可能比使用管理用户权限操作的用户受到的影响更小。
威胁情报
谷歌已知CVE-2025-13223漏洞的利用代码已在野外出现。
受影响系统
- Windows和MAC版Chrome版本低于 142.0.7444.175/.176
- Linux版Chrome版本低于 142.0.7444.175
风险评级
| 实体类型 | 规模 | 风险等级 |
|---|---|---|
| 政府机构 | 大型及中型 | 高 |
| 小型 | 中 | |
| 企业 | 大型及中型 | 高 |
| 小型 | 中 | |
| 家庭用户 | 低 |
技术摘要
在谷歌Chrome浏览器中发现了多个漏洞,其中最严重的漏洞可能允许执行任意代码。这些漏洞的详细信息如下:
- 战术:初始访问(TA0001)
- 技术:路过式下载攻击(T1189)
- 具体漏洞:
- V8引擎中的类型混淆漏洞(CVE-2025-13223, CVE-2025-13224)
成功利用最严重的这些漏洞,可能允许在已登录用户的上下文中执行任意代码。根据与用户关联的权限,攻击者随后可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。系统中用户权限较少的帐户用户可能比使用管理用户权限操作的用户受到的影响更小。
建议措施
我们建议采取以下行动:
-
应用更新:在适当测试后,立即将谷歌提供的相应更新应用于易受攻击的系统。(M1051:更新软件)
- 安全保障措施7.1:建立和维护漏洞管理流程。
- 安全保障措施7.4:执行自动化的应用程序补丁管理。
- 安全保障措施7.7:修复检测到的漏洞。
- 安全保障措施9.1:确保仅使用完全受支持的浏览器和电子邮件客户端。
-
实施最小权限原则:对所有系统和服务应用最小权限原则。以非特权(无管理权限)用户身份运行所有软件,以减轻成功攻击的影响。(M1026:特权账户管理)
- 安全保障措施4.7:管理企业资产和软件上的默认账户。
- 安全保障措施5.4:将管理员权限限制于专用的管理员账户。
-
实施应用程序隔离:将代码执行限制在端点系统上或传输至端点系统的虚拟环境中。(M1048:应用程序隔离与沙箱)
-
启用利用防护:使用能够检测和阻止可能导致或表明软件漏洞利用发生的功能。(M1050:漏洞利用防护)
- 安全保障措施10.5:启用反利用功能。
-
限制网络内容:限制访问某些网站、阻止下载/附件、阻止JavaScript、限制浏览器扩展等。(M1021:限制基于网络的内容)
- 安全保障措施9.2:使用DNS过滤服务。
- 安全保障措施9.3:维护并强制执行基于网络的URL过滤器。
- 安全保障措施9.6:阻止不必要的文件类型。
-
用户培训:告知并教育用户有关电子邮件或附件中(尤其是来自不受信任来源的)超链接带来的威胁。提醒用户不要访问不受信任的网站或点击来自未知或不受信任来源的链接。(M1017:用户培训)
- 安全保障措施14.1:建立和维护安全意识计划。
- 安全保障措施14.2:培训员工识别社会工程学攻击。