3月25日Google發布134.0.6998.177、134.0.6998.178版Chrome更新,修補高風險層級的資安漏洞CVE-2025-2783,這項漏洞出現在Windows版本的Mojo元件,在特定情況下會出現不正確處理的情形,值得留意的是,Google指出,他們掌握這項弱點已有實際攻擊行動出現的情況,而這是今年第2個Chrome零時差漏洞。
對於這項漏洞的危險性,通報此事的資安業者卡巴斯基指出,攻擊者有機會用來繞過Chrome的沙箱保護機制,起因是沙箱與Windows作業系統的交會點(intersection)出現邏輯錯誤的現象。
卡巴斯基也對這項漏洞的發現做出說明,他們在3月中旬偵測到一系列的釣魚郵件攻擊行動Operation ForumTroll,只要收信人點選駭客提供的連結,就有可能中招,過程中無須收信人額外互動。經過調查,卡巴斯基確認駭客利用了尚未公布的Chrome漏洞而得逞。
針對網釣攻擊的流程,駭客先針對收信人寄送專門量身打造的釣魚郵件,聲稱要邀請他們參與世界經濟和國際關係論壇「普里馬科夫讀書會(Primakov Readings)」。這波攻擊的主要目標是俄羅斯,鎖定媒體、教育機構、政府組織而來。為了迴避偵測,駭客使用的惡意連結存活期間都相當短暫。
附帶一提的是,研究人員發現駭客將CVE-2025-2783與另一個遠端執行任意程式碼(RCE)漏洞同時運用,但他們無法取得這項弱點的相關資訊。根據駭客使用的未知漏洞及惡意程式,卡巴斯基認為,攻擊者很有可能是APT駭客。
