3月25日Google发布134.0.6998.177、134.0.6998.178版Chrome更新,修补高风险层级的安全漏洞CVE-2025-2783,这项漏洞出现在Windows版本的Mojo组件,在特定情况下会出现不正确处理的情形,值得留意的是,Google指出,他们掌握这项弱点已有实际攻击行动出现的情况,而这是今年第2个Chrome零时差漏洞。
对于这项漏洞的危险性,通报此事的安全企业卡巴斯基指出,攻击者有机会用来绕过Chrome的沙箱保护机制,起因是沙箱与Windows操作系统的交会点(intersection)出现逻辑错误的现象。
卡巴斯基也对这项漏洞的发现做出说明,他们在3月中旬侦测到一系列的钓鱼邮件攻击行动Operation ForumTroll,只要收信人点击黑客提供的连接,就有可能中招,过程中无需收信人额外互动。经过调查,卡巴斯基确认黑客利用了尚未公布的Chrome漏洞而得逞。
针对网络钓鱼攻击的流程,黑客先针对收信人发送专门量身打造的钓鱼邮件,声称要邀请他们参与世界经济和国际关系论坛“普里马科夫读书会(Primakov Readings)”。这波攻击的主要目标是俄罗斯,锁定媒体、教育机构、政府组织而来。为了回避侦测,黑客使用的恶意连接存活期间都相当短暂。
附带一提的是,研究人员发现黑客将CVE-2025-2783与另一个远程执行任意程序代码(RCE)漏洞同时运用,但他们无法取得这项弱点的相关资讯。根据黑客使用的未知漏洞及恶意程序,卡巴斯基认为,攻击者很有可能是APT黑客。
