近日,国家信息安全漏洞共享平台(CNVD)发布Google Chrome沙箱逃逸漏洞(CNVD-2025-06046,对应CVE-2025-2783)安全公告。目前,该漏洞已被发现在野利用,并被多个 APT 组织武器化。
漏洞情况
Google Chrome是全球使用最广泛的网页浏览器之一,以其快速、安全和稳定的特性著称。Chrome支持多标签页浏览,每个标签页都在独立的沙箱(SandBox)内运行,沙箱是Chrome的安全边界,用来隔离恶意代码对浏览器其他页面或用户系统的破坏,各标签页间的独立性提升了Chrome整体的稳定性和安全性。
CVE-2025-2783是一个沙箱逃逸漏洞,威胁等级被评定为高危(CVSS 3.1 评分 8.8)。该漏洞是Chrome沙箱机制与Windows操作系统内核交互时存在逻辑错误缺陷,未经授权的攻击者可在远程条件下,利用该漏洞绕过Chrome的沙箱保护机制,造成信息泄露、代码执行等危害。
攻击者综合利用该漏洞,可实现对目标主机的管理权限控制。
漏洞成因
Chrome沙箱机制在处理Windows内核交互时存在逻辑缺陷,导致攻击者可以通过精心构造的Mojo IPC消息绕过沙箱限制。漏洞利用链可能涉及JavaScript引擎(V8)与沙箱机制的交互问题,但具体技术细节尚未公开。
攻击背景
攻击者可以构造恶意网页或广告,诱导用户点击链接(或通过恶意广告自动加载)。成功利用后,攻击者可以突破 Chrome 沙箱,在受害者主机上执行任意代码,窃取敏感信息或植入恶意软件。
影响范围
漏洞影响的产品版本包括:Google Chrome (Windows) 版本 < 134.0.6998.177
漏洞处置建议
目前,谷歌已发布新版本修复该漏洞,可通过官方链接下载并更新至最新版本。同时,云科安信建议用户不要随意点击访问通过电子邮件、即时通讯软件等途径传播的不明网站链接或文件,如无法立即更新建议暂时禁用JavaScript或使用其他浏览器(如 Firefox 或 Edge),并部署WAF等网络层防护措施以拦截潜在的恶意流量。
原文始发于微信公众号(网络威胁数据联盟):漏洞预警 | Google Chrome沙箱逃逸漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论