首页 > 安全研究 > 安全通报 > 安全通告

【漏洞通告】Google Chrome沙箱逃逸漏洞(CVE-2025-2783)

发布时间 2025-03-26

一、漏洞概述


漏洞名称

Google Chrome 沙箱逃逸漏洞

CVE   ID

CVE-2025-2783

漏洞类型

沙箱绕过漏洞

发现时间

2025-03-26

漏洞评分

9.8

漏洞等级

严重

攻击向量

网络

所需权限

利用难度

用户交互

PoC/EXP

未公开

在野利用

已发现


Google Chrome 是由谷歌开发的跨平台网页浏览器,以其速度、安全性和简洁的界面而闻名。它基于开源的Chromium项目,支持现代网页标准,具有强大的扩展性。Chrome的沙箱技术可以限制网页中的恶意代码,增强浏览器的安全性。它还提供了同步功能,允许用户在多个设备间同步书签、历史记录等数据。此外,Chrome定期更新,修复已知漏洞并增强功能,是全球使用最广泛的浏览器之一。


2025年3月26日,启明星辰集团VSRC监测到卡巴斯基全球研究与分析团队(GReAT)近期发现了一起代号为“Operation ForumTroll”的复杂APT攻击,主要针对俄罗斯的媒体和教育机构。攻击者利用谷歌浏览器(Google Chrome)中的零日漏洞CVE-2025-2783,成功绕过了浏览器的沙盒保护机制。受害者仅需点击钓鱼邮件中的恶意链接,攻击者即可在其设备上执行恶意代码,进行间谍活动。


二、影响范围


Google Chrome(Windows) < 134.0.6998.177


三、安全措施


3.1 升级版本


官方已发布修复版本,建议受影响用户尽快更新。


下载链接:https://www.google.cn/chrome/


3.2 临时措施


暂无。


3.3 通用建议


• 定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
• 加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
• 使用企业级安全产品,提升企业的网络安全性能。
• 加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

• 启用强密码策略并设置为定期修改。


3.4 参考链接


https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html
https://securelist.com/operation-forumtroll/115989/
https://www.kaspersky.com/blog/forum-troll-apt-with-zero-day-vulnerability/53215/
上一篇 下一篇