Google fixed the first actively exploited Chrome zero-day since the start of the year
2025/03/26 SecurityAffairs — Google が公表したのは、Windows 版 Chrome ブラウザに存在する、深刻度の高い out-of-band の脆弱性 CVE-2025-2783 に対処する修正のリリースである。この脆弱性は、ロシアの組織を標的とする攻撃で、積極的に悪用されていたという。
この脆弱性は、Windows 上の Mojo で不特定の状況で提供される、誤ったハンドルに起因するものだ。2025年3月20日の時点で、Kaspersky の研究者である Boris Larin (@oct0xor) と Igor Kuznetsov (@2igosha) が、この脆弱性を報告した。
Mojo とは、Chromium ベース・ブラウザ用に提供される、Google の IPC ライブラリであり、安全な通信のためのサンドボックス化されたプロセスを管理するものだ。Windows 環境においては、Mojo により Chrome のセキュリティが強化されるが、これまでにも脆弱性の悪用により、サンドボックス・エスケープや権限の昇格などが生じてきた。
今回の脆弱性 CVE-2025-2783 だが、この脆弱性を悪用する攻撃の詳細や、それを背後で操る脅威アクターの身元などを、Google は明らかにしていない。
Google が公開したアドバイザリには、「脆弱性 CVE-2025-2783 のエクスプロイトが、実際に存在するという報告を、Google として認識している。Windows 用の Stable チャネルが 134.0.6998.177/.178 に更新され、今後の数日/数週にわたって展開される。このビルドの変更点の完全なリストは、ログで確認できる」と記されている。
2024年10月23日にも Google は、Apple Security Engineering and Architecture (SEAR) により報告された、Chrom の脆弱性 CVE-2024-10487 を修正している。この脆弱性は、Dawn 実装に存在する out-of-bounds の問題だった。
Dawn は、WebGPU 標準の OSS クロスプラットフォームの実装である。より正確に言うと、WebGPU IDL と one-to-one でマッピングされる、”webgpu.h” を実装するものだ。Dawn は、大規模システムの一部として統合されることを前提にした、Chromium における WebGPU の基盤となる実装である。
この脆弱性が、実際の攻撃で積極的に悪用されているかどうかは不明である。
ロシアを主な標的とした攻撃で、Chrome のゼロデイ脆弱性が悪用されるという、珍しいケースです。脆弱性 CVE-2025-2783 の発見者である Kaspersky の Boris Larin/Igor Kuznetsov のレポートによると、この脆弱性を悪用した攻撃は、ロシアのメディア/教育機関/政府機関を狙って行われていたとのことです。とはいえ、どの地域や組織が、次の標的になるのかは分かりません。ご利用の方は、アップデートを忘れないよう、お気をつけください。よろしければ、Chrome で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.