安全公告編號:CNTA-2025-0005
2025年3月28日,國家信息安全漏洞共享平臺(CNVD)收錄了Google Chrome沙箱逃逸漏洞(CNVD-2025-06046,對應CVE-2025-2783)。攻擊者利用該漏洞可遠程繞過Chrome的沙箱保護機制,造成信息泄露、代碼執(zhí)行等危害。目前,漏洞細節(jié)尚未公開,谷歌公司已發(fā)布新版本修復該漏洞。CNVD建議受影響的用戶盡快升級至最新版本。
一、漏洞情況分析
Chrome是一款由谷歌公司開發(fā)的網(wǎng)頁瀏覽器,具有較好的性能、出色的兼容性和豐富的擴展程序。Chrome支持多標簽頁瀏覽,每個標簽頁都在獨立的沙箱(SandBox)內(nèi)運行,沙箱是Chrome的安全邊界,用來隔離惡意代碼對瀏覽器其他頁面或用戶系統(tǒng)的破壞,各標簽頁間的獨立性提升了Chrome整體的穩(wěn)定性和安全性。
2025年3月28日,國家信息安全漏洞共享平臺收錄了Google Chrome沙箱逃逸漏洞。由于Chrome沙箱機制與Windows操作系統(tǒng)內(nèi)核交互時存在邏輯錯誤缺陷,未經(jīng)授權(quán)的攻擊者可在遠程條件下,利用該漏洞繞過Chrome的沙箱保護機制,造成信息泄露、代碼執(zhí)行等危害。攻擊者綜合利用該漏洞,可實現(xiàn)對目標主機的管理權(quán)限控制。
CNVD對上述漏洞的綜合評級為“高危”。
二、漏洞影響范圍
漏洞影響的產(chǎn)品版本包括:
Google Chrome(Windows)< 134.0.6998.177
三、漏洞處置建議
目前,谷歌公司已發(fā)布新版本修復該漏洞,CNVD建議受影響的用戶盡快通過官方鏈接下載并更新至最新版本:
https://www.google.cn/chrome/
同時,CNVD建議用戶不要隨意點擊訪問通過電子郵件、即時通訊軟件等途徑傳播的不明網(wǎng)站鏈接或文件。
