谷歌修复了今年首个被主动利用的Chrome零日漏洞

谷歌紧急发布补丁修复Windows版Chrome浏览器高危漏洞（编号CVE-2025-2783）。该漏洞已被黑客用于针对俄罗斯机构的攻击行动。

该漏洞源于Windows系统Mojo组件在特定场景下存在句柄处理错误。卡巴斯基研究员Boris Larin（@oct0xor）和Igor Kuznetsov（@2igosha）于2025年3月20日报告此漏洞。

Mojo是谷歌为Chromium浏览器开发的进程间通信库，负责管理沙箱进程的安全通信。在Windows系统中虽能增强Chrome安全性，但历史上相关漏洞曾导致沙箱逃逸和权限提升。

谷歌未透露漏洞攻击的具体细节及幕后黑手身份。"谷歌已发现CVE-2025-2783漏洞野外利用报告，"官方公告称，"Windows稳定版已更新至134.0.6998.177/.178，将在未来数日/周内推送。完整更新日志可查看Log记录。"

2024年10月23日，苹果安全工程与架构团队（SEAR）曾报告另一个Chrome高危漏洞（编号CVE-2024-10487），谷歌随后予以修补。该漏洞属于Dawn实现中的越界写入问题。

Dawn是WebGPU标准的开源跨平台实现，精确映射WebGPU接口定义语言（IDL），通常作为底层组件集成至大型系统，Chromium中WebGPU功能即基于此实现。目前尚不清楚该漏洞是否已被野外利用。

原文始发于微信公众号（黑猫安全）：谷歌修复了今年首个被主动利用的Chrome零日漏洞