Google Chrome多漏洞可导致任意代码执行

MS-ISAC 咨询编号：2025-067
发布日期：2025年7月22日

概述

谷歌Chrome浏览器中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。成功利用这些漏洞中最严重者，攻击者可在已登录用户的上下文中执行任意代码。根据用户的权限，攻击者可能安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。系统上用户权限较少的帐户可能比具有管理用户权限的帐户受影响较小。

威胁情报

谷歌已知CVE-2025-6558的漏洞利用已在野外存在。

受影响系统

• Windows和Mac版Chrome 138.0.7204.157/.158之前版本
• Linux版Chrome 138.0.7204.157之前版本

风险等级

• 政府机构：大型和中型政府实体（高风险）；小型政府实体（中风险）
• 企业：大型和中型企业实体（高风险）；小型企业实体（中风险）
• 家庭用户：低风险

技术摘要

谷歌Chrome浏览器中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下：

策略：初始访问（TA0001）
技术：驱动式攻击（T1189）

• V8中的整数溢出（CVE-2025-7656）
• ANGLE和GPU中不受信任输入的验证不正确（CVE-2025-6558）
• WebRTC中的释放后使用（CVE-2025-7657）

成功利用这些漏洞中最严重者，可能允许在已登录用户的上下文中执行任意代码。根据用户的权限，攻击者可能安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。系统上用户权限较少的帐户可能比具有管理用户权限的帐户受影响较小。

建议措施

我们建议采取以下行动：

1. 立即应用更新：在适当测试后，立即为易受攻击的系统应用谷歌提供的适当更新（M1051：更新软件）。

   • 保障措施7.1：建立和维护漏洞管理流程
   • 保障措施7.4：执行自动化应用程序补丁管理
   • 保障措施7.7：修复检测到的漏洞
   • 保障措施9.1：确保仅使用完全支持的浏览器和电子邮件客户端

2. 应用最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户（无管理权限）身份运行所有软件，以减轻成功攻击的影响（M1026：特权账户管理）。

   • 保障措施4.7：管理企业资产和软件上的默认账户
   • 保障措施5.4：将管理员权限限制为专用管理员账户

3. 限制代码执行环境：将代码执行限制到端点系统上或传输中的虚拟环境（M1048：应用程序隔离和沙箱）。

4. 启用防漏洞利用功能：使用功能检测和阻止可能导致或指示软件漏洞利用的条件（M1050：漏洞利用保护）。

   • 保障措施10.5：启用防漏洞利用功能

5. 限制网络内容：限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等（M1021：限制基于网络的内容）。

   • 保障措施9.2：使用DNS过滤服务
   • 保障措施9.3：维护和执行基于网络的URL过滤器
   • 保障措施9.6：阻止不必要的文件类型

6. 用户培训：告知和教育用户有关电子邮件或附件中超链接的威胁，尤其是来自不可信来源的链接。提醒用户不要访问不可信的网站或遵循未知或不可信来源提供的链接（M1017：用户培训）。

   • 保障措施14.1：建立和维护安全意识计划
   • 保障措施14.2：培训员工识别社会工程攻击

参考

• CVE：
  • CVE-2025-7656
  • CVE-2025-6558
  • CVE-2025-7657
• Google：Chrome稳定频道更新公告

订阅咨询信息中心，获取此类网络威胁的电子邮件更新