Google Chrome漏洞允许任意代码执行
MS-ISAC 咨询编号:2025-030
发布日期:2025年3月21日
概述
Google Chrome中发现一个安全漏洞,可能允许任意代码执行。成功利用此漏洞可使攻击者在已登录用户上下文中执行任意代码。根据用户权限,攻击者可能安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。配置较少用户权限的账户受影响程度低于具有管理权限的账户。
威胁情报
目前未发现该漏洞在野被利用的报告。
受影响系统
- Windows和Mac版Chrome 134.0.6998.117/.118之前版本
- Linux版Chrome 134.0.6998.117之前版本
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户:低
技术详情
Google Chrome中存在一个安全漏洞,可能允许任意代码执行。漏洞具体细节如下:
战术:初始访问(TA0001)
技术:驱动式攻击(T1189)
- Lens组件中的Use-After-Free漏洞(CVE-2025-2476)
成功利用此漏洞可在已登录用户上下文中执行任意代码。根据用户权限,攻击者可能安装程序、查看/修改/删除数据,或创建具有完全用户权限的新账户。
修复建议
建议采取以下措施:
-
立即应用补丁
- 经过适当测试后,立即为受影响系统应用Google提供的更新(M1051:更新软件)
- 维护7.1:建立和维护漏洞管理流程
- 维护7.4:执行自动化应用程序补丁管理
- 维护7.7:修复检测到的漏洞
-
实施最小权限原则
- 确保仅允许完全支持的浏览器和电子邮件客户端在企业中执行(维护9.1)
- 将所有系统和服务的权限限制为最小必要权限(M1026:特权账户管理)
- 管理企业资产和软件上的默认账户(维护4.7)
- 将管理员权限限制为专用管理员账户(维护5.4)
-
加强防护措施
- 将代码执行限制在端点系统的虚拟环境中(M1048:应用程序隔离和沙箱)
- 使用能力检测和阻止可能导致软件利用的条件(M1050:利用保护)
- 启用反利用功能,如DEP、WDEG或SIP和Gatekeeper(维护10.5)
-
网络内容限制
- 限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等(M1021:限制基于Web的内容)
- 使用DNS过滤服务阻止已知恶意域名的访问(维护9.2)
- 维护和执行基于网络的URL过滤器(维护9.3)
- 阻止不必要的文件类型进入企业电子邮件网关(维护9.6)
-
用户安全意识培训
- 告知和教育用户有关电子邮件或附件中超链接的威胁(M1017:用户培训)
- 建立和维护安全意识计划(维护14.1)
- 培训员工识别社会工程攻击(维护14.2)
参考链接
- CVE:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-2476
- Google:https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_19.html
订阅咨询获取电子邮件更新,及时了解此类网络威胁