谷歌 Chrome 多重漏洞可导致任意代码执行
概述
在谷歌 Chrome 浏览器中发现了多个漏洞,其中最严重的漏洞可能允许任意代码执行。成功利用最严重的这些漏洞可能允许在登录用户上下文中执行任意代码。根据与用户相关的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
威胁情报
谷歌已知 CVE-2025-10585 漏洞在野外存在利用。
受影响系统
Windows 版 Chrome 140.0.7339.185/.186 之前版本
Linux 版 Chrome 140.0.7339.185 之前版本
风险等级
政府机构:
大型和中型政府实体:高
小型政府实体:中
企业:
大型和中型企业实体:高
小型企业实体:中
家庭用户: 低
技术详情
在谷歌 Chrome 浏览器中发现了多个漏洞,其中最严重的漏洞可能允许任意代码执行。这些漏洞的详细信息如下:
战术:初始访问(TA0001)技术:路过式下载(T1189)
V8 中的类型混淆(CVE-2025-10585)
Dawn 中的释放后使用(CVE-2025-10500)
WebRTC 中的释放后使用(CVE-2025-10501)
ANGLE 中的堆缓冲区溢出(CVE-2025-10502)
成功利用最严重的这些漏洞可能允许在登录用户上下文中执行任意代码。根据与用户相关的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
修复建议
我们建议采取以下措施:
应用补丁更新
经过适当测试后立即将 Google 提供的适当更新应用到易受攻击的系统
维护漏洞管理流程
每月或更频繁执行自动化应用程序补丁管理
每月或更频繁修复检测到的漏洞
确保仅使用完全支持的浏览器和电子邮件客户端
应用最小权限原则
对所有系统和服务应用最小权限原则
以非特权用户身份运行所有软件
管理企业资产和软件上的默认帐户
将管理员权限限制为专用管理员帐户
实施应用程序隔离
将代码执行限制到端点系统上或传输至端点系统的虚拟环境
启用漏洞利用保护
使用功能检测和阻止可能导致或表明软件漏洞利用发生的条件
在可能的情况下在企业资产和软件上启用反利用功能
限制基于 Web 的内容
限制某些网站的使用,阻止下载/附件,阻止 JavaScript,限制浏览器扩展等
在所有企业资产上使用 DNS 过滤服务
维护和执行基于网络的 URL 过滤器
阻止不必要的文件类型尝试进入企业的电子邮件网关
用户培训教育
告知和教育用户有关电子邮件或附件中包含的超链接带来的威胁
提醒用户不要访问不受信任的网站或遵循未知或不受信任来源提供的链接
建立和维护安全意识计划
培训员工识别社会工程学攻击
参考链接
CVE:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10500
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10501
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10502
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-10585
Google:
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html 更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码

公众号二维码

评论