Google Chrome多重漏洞可导致任意代码执行

MS-ISAC咨询编号： 2025-086
发布日期： 2025年9月18日

概述

谷歌Chrome浏览器中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。成功利用最严重的漏洞可能允许在登录用户上下文中执行任意代码。根据用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

威胁情报

谷歌已知CVE-2025-10585漏洞在野外存在利用代码。

受影响系统

• Windows版Chrome 140.0.7339.185/.186之前版本
• Linux版Chrome 140.0.7339.185之前版本

风险等级

政府机构：

• 大中型政府实体：高
• 小型政府实体：中

企业：

• 大中型企业实体：高
• 小型企业实体：中

家庭用户： 低

技术详情

谷歌Chrome浏览器中发现多个漏洞，其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下：

战术： 初始访问（TA0001）
技术： 路过式下载（T1189）：

• V8中的类型混淆（CVE-2025-10585）
• Dawn中的释放后使用（CVE-2025-10500）
• WebRTC中的释放后使用（CVE-2025-10501）
• ANGLE中的堆缓冲区溢出（CVE-2025-10502）

成功利用最严重的漏洞可能允许在登录用户上下文中执行任意代码。根据用户关联的权限，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新账户。

建议措施

我们建议采取以下行动：

1. 应用适当更新：在适当测试后立即通过谷歌向易受攻击的系统应用适当更新。（M1051：更新软件）

   • 防护措施7.1：建立和维护漏洞管理流程
   • 防护措施7.4：执行自动化应用程序补丁管理
   • 防护措施7.7：修复检测到的漏洞
   • 防护措施9.1：确保仅使用完全支持的浏览器和电子邮件客户端

2. 应用最小权限原则：对所有系统和服务应用最小权限原则。以非特权用户身份运行所有软件以减少成功攻击的影响。（M1026：特权账户管理）

   • 防护措施4.7：管理企业资产和软件上的默认账户
   • 防护措施5.4：将管理员权限限制为专用管理员账户

3. 限制代码执行：将代码执行限制到端点系统上或传输到端点系统的虚拟环境。（M1048：应用程序隔离和沙箱）

4. 启用利用保护：使用功能检测和阻止可能导致或表明软件利用发生的条件。（M1050：利用保护）

   • 防护措施10.5：启用反利用功能

5. 限制基于Web的内容：限制某些网站的使用，阻止下载/附件，阻止JavaScript，限制浏览器扩展等。（M1021：限制基于Web的内容）

   • 防护措施9.2：使用DNS过滤服务
   • 防护措施9.3：维护和执行基于网络的URL过滤器
   • 防护措施9.6：阻止不必要的文件类型

6. 用户培训：告知和教育用户有关电子邮件或附件中包含的超链接带来的威胁，特别是来自不受信任来源的链接。提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接。（M1017：用户培训）

   • 防护措施14.1：建立和维护安全意识计划
   • 防护措施14.2：培训员工识别社会工程攻击

参考链接

CVE：

• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10500
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10501
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10502
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10585

谷歌：

• https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html