谷歌浏览器严重漏洞:V8引擎类型混淆可能导致任意代码执行
概述
在谷歌浏览器中发现了多个漏洞,其中最严重的漏洞可能允许任意代码执行。成功利用最严重的漏洞可能允许在登录用户的上下文中执行任意代码。根据与用户相关的权限,攻击者随后可以安装程序;查看、更改或删除数据;或者创建具有完全用户权限的新帐户。与使用管理用户权限的用户相比,其帐户配置为在系统上拥有较少用户权限的用户可能受到的影响较小。
威胁情报
谷歌已知针对 CVE-2025-13223 的漏洞利用程序已在野外出现。
受影响系统
- Windows 和 MAC 版本低于 142.0.7444.175/.176 的 Chrome
- Linux 版本低于 142.0.7444.175 的 Chrome
风险等级
- 政府机构: 大中型政府实体 - 高;小型政府实体 - 中
- 企业: 大中型商业实体 - 高;小型商业实体 - 中
- 家庭用户: 低
技术摘要
在谷歌浏览器中发现了多个漏洞,其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下:
- 战术: 初始访问(TA0001)
- 技术: 路过式下载(T1189)
- 漏洞: V8 中的类型混淆(CVE-2025-13223, CVE-2025-13224)
成功利用最严重的漏洞可能允许在登录用户的上下文中执行任意代码。根据与用户相关的权限,攻击者随后可以安装程序;查看、更改或删除数据;或者创建具有完全用户权限的新帐户。与使用管理用户权限的用户相比,其帐户配置为在系统上拥有较少用户权限的用户可能受到的影响较小。
建议措施
我们建议采取以下行动:
-
应用补丁: 经过适当测试后,立即将谷歌为易受攻击系统提供的适当更新应用到相应系统上。(M1051:更新软件)
- 保障措施 7.1: 建立和维护漏洞管理流程。
- 保障措施 7.4: 执行自动化应用程序补丁管理。
- 保障措施 7.7: 修复已检测到的漏洞。
- 保障措施 9.1: 确保仅允许使用完全受支持的浏览器和电子邮件客户端,并使用供应商提供的最新版本。
-
实施最小权限原则: 对所有系统和服务实施最小权限原则。以非特权用户(无管理权限的用户)身份运行所有软件,以减轻成功攻击的影响。(M1026:特权账户管理)
- 保障措施 4.7: 管理企业资产和软件上的默认账户。
- 保障措施 5.4: 将管理员权限限制在专用的管理员账户。
-
应用隔离: 将代码执行限制在端点系统上或传输至端点系统的虚拟环境中。(M1048:应用程序隔离和沙箱)
-
启用漏洞利用防护: 使用功能来检测和阻止可能导致或表明发生软件漏洞利用的条件。(M1050:漏洞利用防护)
- 保障措施 10.5: 启用反漏洞利用功能,例如 Microsoft®️ 数据执行保护(DEP)、Windows®️ Defender Exploit Guard(WDEG)或 Apple®️ 系统完整性保护(SIP)和 Gatekeeper:trade_mark:。
-
限制网络内容: 限制访问某些网站,阻止下载/附件,阻止 JavaScript,限制浏览器扩展等。(M1021:限制基于网络的内容)
- 保障措施 9.2: 使用 DNS 过滤服务。
- 保障措施 9.3: 维护并强制执行基于网络的 URL 过滤器。
- 保障措施 9.6: 阻止不必要的文件类型进入企业电子邮件网关。
-
用户培训: 告知并教育用户有关电子邮件或附件中包含的超链接所带来的威胁,尤其是来自不可信来源的链接。提醒用户不要访问不可信的网站或点击来自未知或不可信来源的链接。(M1017:用户培训)
- 保障措施 14.1: 建立和维护安全意识计划。
- 保障措施 14.2: 培训员工识别社会工程学攻击。
参考资料
- CVE 链接:
- 谷歌公告:
- https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
- https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html
公众号二维码
公众号二维码
浙公网安备 33010602011771号