CVE-2025-2783: Chrome ゼロデイがロシアの組織を標的に

Google、Chrome ゼロデイ脆弱性に対する緊急パッチを公開

Googleは、すでに悪用されている重大な脆弱性を発見した後、Windows版Chromeブラウザの緊急セキュリティアップデートをリリースした。. 欠陥, として追跡 CVE-2025-2783, Mojo（Googleのプロセス間通信）内のハンドルが間違っている (IPC) Windows 上のフレームワーク.

この問題はChromeバージョンで解決されました 134.0.6998.177/.178 Windows用. ユーザーは、リスクを最小限に抑えるためにすぐにアップデートすることをお勧めします。, 特に、この脆弱性はすでに標的型攻撃に利用されていることを考えると.

APT キャンペーンが標的型フィッシング攻撃で Chrome の欠陥を悪用

CVE-2025-2783は、最初に知られている ゼロデイ脆弱性 Chromeで積極的に悪用される 2025 で APT 運動. カスペルスキーのボリス・ラリンとイゴール・クズネツォフが発見, この攻撃は、 フォーラムトロール作戦.

カスペルスキーによると, 被害者はフィッシングメール内のリンクをクリックした後に感染した. リンクはChrome経由で悪質なウェブサイトに誘導した, さらなる操作を必要とせずにエクスプロイトをトリガーする. The フィッシングメッセージ 信頼できるイベントからの偽装招待状, プリマコフの朗読, メディアから個人を誘い出すために使用される, 教育機関, ロシアの政府機関.

高度な攻撃手法は国家支援の脅威アクターの存在を示唆

カスペルスキーの研究者は、このキャンペーンは非常に洗練されていると評価した。, 高度で持続的な脅威の関与を示唆している (APT) グループ. この脆弱性の性質上、攻撃者はChromeがWindowsオペレーティングシステムとやり取りする方法を利用してChromeのサンドボックスメカニズムを回避することができました。. エクスプロイトチェーンにはリモートコード実行の二次的な脆弱性が含まれている可能性が高いが、, カスペルスキーはまだ2番目のコンポーネントを回復していない.

攻撃に使用されたURLは短命で、ターゲットごとに独自に作成された。, このキャンペーンの目的はサイバースパイ活動だと考えられている.

現時点では、攻撃はロシアの組織を標的にしていることが分かっているが、, 他のChromiumベースのブラウザのユーザー, 含む マイクロソフトエッジ, 勇敢, オペラ, ヴィヴァルディ, 危険にさらされている. ベンダーが関連パッチを公開したらすぐに適用することをお勧めします。.

攻撃者の詳細とキャンペーンの全容はGoogleによって明らかにされていない。, これは、野生での搾取を認めた 簡単なアドバイス.