详细内容或原文请订阅后点击阅览
在铬片贴上零日以针对俄罗斯人的零日,firefox splats类似的错误
单击Google浏览器中的网络钓鱼链接,WindowsGoogle上的Sandbox Blew Up Sandbox本周在Windows上推出了Chrome的紧急补丁,以阻止攻击者利用破碎的零日脆弱性,Snoops似乎被Snoops用于俄罗斯的某些人。
来源:The Register _恶意软件Google本周在Windows上推出了Chrome的紧急补丁,以阻止攻击者利用破坏沙盒的零日脆弱性,Snoops似乎用来针对俄罗斯的某些人。
现在,Mozilla发现了类似的缺陷之后 - 据我们所知,尽管没有探索类似的缺陷,但潜伏在其Firefox浏览器的代码中。
Chrome Patch解决了卡巴斯基(Kaspersky)确定的一个相当模糊的脆弱性,它在发现针对俄罗斯记者,学者和政府机构的网络钓鱼运动后发现了这一脆弱性,该活动邀请了这一活动。在电子邮件中点击恶意链接的受害者无需做任何其他事情 - 漏洞立即通过Chrome的Security Sandbox进行了打孔,除其他外,这使网页选项卡和插件彼此隔离,这可能导致进一步的开发,这些漏洞尚未公开记录。
Chrome的安全沙盒“ CVE-2025-2783的脆弱性确实使我们挠头了,因为在没有做任何明显恶意或禁止的事情的情况下,它允许攻击者绕过Google Chrome的沙盒保护,就像它甚至不存在一样,” Kaspersky研究人员Igor Kuznetsov和Boris Larin写道。
CVE-2025-2783 写卡巴斯基二人组说,他们本身没有观察到随后的恶意软件感染,而是认为“漏洞”“旨在与额外的利用相结合,以实现远程代码执行。”
Google感谢Kaspersky研究人员悄悄地将Biz放下,并更新了Chrome,并解释了该问题是由于“在Windows上Mojo中未指定的情况下提供的不正确的手柄”引起的。在这种情况下,Mojo是指Chromium的内部过程间通信(IPC)框架。
Mojo“在CVE-2025-2783中的沙盒逃逸之后,各种Firefox开发人员在我们的过程间通信(IPC)代码中确定了类似的模式,” Mozilla建议。
建议 仅Windows紧急释放