Google Chrome多漏洞可导致任意代码执行
MS-ISAC 安全公告编号:2025-053
发布日期:2025年6月3日
概述
谷歌Chrome浏览器中发现多个安全漏洞,其中最严重的漏洞可能导致任意代码执行。成功利用这些漏洞的攻击者可以在已登录用户的权限上下文中执行任意代码。根据用户权限不同,攻击者可能安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。
威胁情报
谷歌已确认CVE-2025-5419漏洞存在野外利用实例。
受影响系统
- Windows和Mac版Chrome 137.0.7151.68/.69之前版本
- Linux版Chrome 137.0.7151.68之前版本
风险评级
| 实体类型 | 风险等级 |
|---|---|
| 大中型政府机构 | 高 |
| 小型政府机构 | 中 |
| 大中型企业 | 高 |
| 小型企业 | 中 |
| 家庭用户 | 低 |
技术细节
发现的漏洞主要涉及以下攻击技术和漏洞类型:
战术:初始访问(TA0001)
技术:路过式下载攻击(T1189)
- V8引擎中的越界读写漏洞(CVE-2025-5419)
- Blink引擎中的释放后使用漏洞(CVE-2025-5068)
成功利用可能导致在受害者系统上执行任意代码,具体危害程度取决于用户账户权限级别。
修复建议
-
立即更新:为受影响系统应用谷歌提供的最新补丁(M1051)
- 安全防护7.1:建立并维护漏洞管理流程
- 安全防护7.4:执行自动化应用补丁管理(至少每月)
- 安全防护7.7:定期修复检测到的漏洞
-
最小权限原则:所有软件应以非特权用户身份运行(M1026)
- 安全防护4.7:管理系统默认账户
- 安全防护5.4:限制管理员特权仅用于专用管理员账户
-
沙箱隔离:在虚拟环境中限制代码执行(M1048)
-
利用防护:启用反漏洞利用功能(M1050)
- 安全防护10.5:启用DEP、WDEG等防护功能
-
内容限制:限制网站访问、阻止危险下载等(M1021)
- 安全防护9.2:使用DNS过滤服务
- 安全防护9.3:实施基于网络的URL过滤
- 安全防护9.6:阻止不必要的文件类型
-
用户教育:培训用户识别社会工程攻击(M1017)
- 安全防护14.1:建立安全意识计划
- 安全防护14.2:培训识别钓鱼等攻击
参考链接
- CVE详情:
CVE-2025-5419
CVE-2025-5068 - 谷歌公告:
Chrome稳定版更新说明