U.S. CISA adds Google Chromium Mojo flaw to its Known Exploited Vulnerabilities catalog
2025/03/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium Mojo のサンドボックス・ エスケープ脆弱性 CVE-2025-2783 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
今週に Google は、Windows 版 Chrome ブラウザに存在する、アウトオブバンドの脆弱性 CVE-2025-2783 を修正し、深刻なセキュリティ欠陥に対処した。この脆弱性は、ロシアの組織を標的とする攻撃で、積極的に悪用されていた。
この脆弱性は、Windows 上の Mojo において、不特定の状況で提供される誤ったハンドルに起因する。Kaspersky の研究者である Boris Larin (@oct0xor) と Igor Kuznetsov (@2igosha) が、2025年3月20日付けで、この脆弱性を報告した。
Chromium ベースのブラウザ用の、Google の IPC ライブラリ Mojo は、安全な通信のためのサンドボックス化されたプロセスを管理している。Windows 環境では、このアップデートにより Chrome のセキュリティが強化されるが、過去の脆弱性が放置されると、サンドボックス・エスケープや権限昇格が可能になる。
Google は、この脆弱性を悪用した攻撃の詳細や、その背後にいる脅威アクターの身元を明らかにしていない。
Google が公開したアドバイザリには、「脆弱性 CVE-2025-2783 のエクスプロイトの存在に関する報告を、Google として認識している。Windows のステイブル・チャネルは 134.0.6998.177/.178 へと更新され、今後の数日〜数週にわたって展開される。このビルドでの変更に関する完全なリストは、ログで確認できる」と記されている。
拘束力のある運用指令 (BOD) 22-01:米国政府の FCEB 機関は、カタログに記載された欠陥の悪用からネットワークを保護するために、定められた期限において、特定された脆弱性に対処する必要がある。CISA は連邦政府機関に対して、2025年4 月17日までに、この脆弱性を修正するよう命じている。
さらに、専門家たちは、民間組織においても、このカタログを確認し、インフラの脆弱性に対処することを推奨している。
Windows 版 Chrome に存在する、Chromium Mojo の脆弱性 CVE-2025-2783 が CISA KEV に登録されました。ご利用の方は、アップデートを忘れないよう、お気をつけください。また、この脆弱性を悪用したロシアの組織を標的とする攻撃については、Kaspersky のレポートをご参照ください。
IoT OT Security News 
You must be logged in to post a comment.