概述
在谷歌Chrome浏览器中发现了多个漏洞,其中最严重的漏洞可能允许任意代码执行。成功利用最严重的这些漏洞可能允许在登录用户上下文中执行任意代码。根据与用户相关的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
威胁情报
谷歌已知CVE-2025-10585漏洞在野外存在利用。
受影响系统
- Windows版Chrome 140.0.7339.185/.186之前版本
- Linux版Chrome 140.0.7339.185之前版本
风险等级
政府机构:
- 大型和中型政府实体:高
- 小型政府实体:中
企业:
- 大型和中型企业实体:高
- 小型企业实体:中
家庭用户: 低
技术详情
在谷歌Chrome浏览器中发现了多个漏洞,其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下:
战术:初始访问(TA0001) 技术:路过式下载(T1189)
- V8中的类型混淆(CVE-2025-10585)
- Dawn中的释放后使用(CVE-2025-10500)
- WebRTC中的释放后使用(CVE-2025-10501)
- ANGLE中的堆缓冲区溢出(CVE-2025-10502)
成功利用最严重的这些漏洞可能允许在登录用户上下文中执行任意代码。根据与用户相关的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
修复建议
我们建议采取以下措施:
-
应用补丁更新
- 经过适当测试后立即将Google提供的适当更新应用到易受攻击的系统
- 维护漏洞管理流程
- 每月或更频繁执行自动化应用程序补丁管理
- 每月或更频繁修复检测到的漏洞
- 确保仅使用完全支持的浏览器和电子邮件客户端
-
应用最小权限原则
- 对所有系统和服务应用最小权限原则
- 以非特权用户身份运行所有软件
- 管理企业资产和软件上的默认帐户
- 将管理员权限限制为专用管理员帐户
-
实施应用程序隔离
- 将代码执行限制到端点系统上或传输至端点系统的虚拟环境
-
启用漏洞利用保护
- 使用功能检测和阻止可能导致或表明软件漏洞利用发生的条件
- 在可能的情况下在企业资产和软件上启用反利用功能
-
限制基于Web的内容
- 限制某些网站的使用,阻止下载/附件,阻止JavaScript,限制浏览器扩展等
- 在所有企业资产上使用DNS过滤服务
- 维护和执行基于网络的URL过滤器
- 阻止不必要的文件类型尝试进入企业的电子邮件网关
-
用户培训教育
- 告知和教育用户有关电子邮件或附件中包含的超链接带来的威胁
- 提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接
- 建立和维护安全意识计划
- 培训员工识别社会工程学攻击
参考链接
CVE:
- cve.mitre.org/cgi-bin/cve…
- cve.mitre.org/cgi-bin/cve…
- cve.mitre.org/cgi-bin/cve…
- cve.mitre.org/cgi-bin/cve…
Google:
