• 网站首页
  •   >   威胁情报
  •   >   正文
  • 威胁情报

    Google Chrome资源管理错误漏洞(CNVD-2025-11249)

    发布日期:2025-06-10    浏览次数:

    1. 漏洞背景

    Google Chrome是由Google公司开发的一款被广泛使用的WEB浏览器,应用于Windows、Mac及Linux等多个操作系统平台。

    2. 漏洞详情

    该漏洞的编号为CNVD-2025-11249,对应的CVE编号为CVE-2025-5063,危害级别被评定为“高”。漏洞的根本原因在于Chrome的Compositing(合成)组件中存在资源管理错误,具体为释放后重用(Use-After-Free)漏洞。攻击者可以构建一个特制的网页,当用户使用受影响的浏览器访问该页面时,便会触发此漏洞,最终可能导致在用户系统上执行任意代码。此漏洞的利用需要用户交互(即访问恶意页面),但攻击复杂度较低。

    目前受影响的版本为:

    Google Chrome < 137.0.7151.40

    3. 漏洞影响

    远程代码执行风险: 攻击者一旦成功利用此漏洞,将能够在运行Chrome浏览器的用户系统上,以浏览器进程的权限执行任意代码。这可能导致:

    窃取敏感数据: 植入恶意代码以窃取用户存储在本地的敏感信息,如登录凭据、Cookie、浏览历史、个人文件等。

    植入恶意程序: 在用户计算机上安装后门、勒索软件、间谍软件等恶意程序,对用户设备进行长期控制。

    系统安全威胁: 由于Chrome浏览器拥有庞大的用户基数,该漏洞对大量个人及企业用户的终端设备安全构成严重威胁,攻击者可能利用其进行更大范围的网络攻击活动。

    4. 处置建议

    版本检查:

    排查并确认当前环境中运行的Google Chrome浏览器版本。用户可以通过浏览器菜单中的“帮助” -> “关于Google Chrome”来查看当前版本号。

    更新修复:

    Google官方已针对此漏洞发布了修复版本。强烈建议所有受影响的用户立即将Google Chrome浏览器更新至137.0.7151.40或更高版本。Chrome通常会进行自动更新,用户也可手动触发检查更新以确保安全。

    官方下载/更新地址: https://www.google.com/chrome/

    安全加固:

    谨慎点击: 在完成版本更新前,应提高警惕,避免点击来自不可信来源的链接或访问可疑网站。

    保持安全设置: 确保浏览器内置的“安全浏览”(Safe Browsing)等安全功能处于开启状态,以便更好地防御恶意网站和钓鱼攻击。


    一审:

    二审:

    三审:

    地址: 成都市外东成洛大道2025号 版权所有©成都大学 蜀ICP备05006454号电话:028-84616931  邮编:610106