4月2日、カスペルスキー セキュリティ カンパニーは、Google Chrome ブラウザの重大なゼロデイ脆弱性 (CVE-2025-2783) を発見し、パッチ適用をサポートしたことを発表しました。
具体的には、3 月中旬に、カスペルスキーは、電子メールで送信された個人向けのフィッシング リンクをユーザーがクリックしたときに発生した感染の波を検出しました。
リンクをクリックすると、ユーザーがそれ以上の操作を行わなくても、ユーザーのシステムは直ちに侵害されます。
カスペルスキーチームは、攻撃が最新バージョンのChromeのこれまで発見されていなかった脆弱性を悪用したものであることを分析して確認した後、すぐにGoogleのセキュリティチームに警告した。
この脆弱性に対するセキュリティパッチは、2025 年 3 月 25 日にリリースされました。
セキュリティ企業カスペルスキーは、Google Chromeブラウザに重大なゼロデイ脆弱性を発見し、修正に協力したと発表した。
カスペルスキー社はこの攻撃を「Operation ForumTroll」と名付けました。これは、攻撃者が詐欺を実行するために、被害者を「Primakov Readings」フォーラムに招待する電子メールを送信するという形式を利用したためです。
主な標的には、ロシアのメディア、教育機関、政府機関などが含まれます。さらに巧妙なことに、悪意のあるリンクは検出を回避するために短期間しか存続しません。
そしてほとんどの場合、詐欺が完了した後、痕跡を隠すために、リンクは正当な Primakov Readings Web サイトにリダイレクトされます。
カスペルスキーの分析によると、この攻撃は主にスパイ活動を目的としているようです。収集された証拠は、この攻撃がAPTグループと関連していることを示唆しています。
「この脆弱性は、私たちが長年にわたり発見してきた数十のゼロデイ脆弱性よりもはるかに危険です」とカスペルスキーのGReATセキュリティリサーチ責任者、ボリス・ラリン氏は述べた。
攻撃者はこの脆弱性を悪用し、ブラウザのセキュリティ システムがほとんど存在しないかのように、明示的なアクションを実行せずに Chrome のサンドボックス保護メカニズムを回避します。
彼は、攻撃を受けるリスクを回避するために、すべてのユーザーに対し、Google Chrome やその他の Chromium ベースのブラウザを最新バージョンに更新することを推奨しています。
Kaspersky のセキュリティ専門家は、複雑な脅威から保護するために、オペレーティング システムや Web ブラウザーの更新、Kaspersky Next XDR Expert、AI/ML アプリケーションなどのソリューションの使用を検討するなど、次の対策を講じることを推奨しています...
以前、カスペルスキーのGReATチームはChromeに別のゼロデイ脆弱性(CVE-2024-4947)を発見しました。この脆弱性は、Lazarus APTグループによる暗号通貨窃盗キャンペーンで悪用されました。
出典: https://nld.com.vn/nguoi-dung-chrome-can-biet-lo-hong-nay-de-khong-bi-hack-196250402201803688.htm
コメント (0)