TechRadarによると、Google は Chrome ブラウザの緊急セキュリティ アップデートをリリースし、2025 年に発見された最初の重大なゼロデイ脆弱性を修正したとのことです。さらに懸念されるのは、CVE-2'25-2783 として識別されるこの脆弱性が、大規模なサイバー スパイ活動の一部であると疑われる実際の攻撃でハッカー グループによって積極的に悪用されていることです。

深刻な Chrome の脆弱性が巧妙な方法で悪用される

発行されたセキュリティ警告の中で、Google はこの脆弱性の重大度を「高」と説明しています。これにより、攻撃者は Chrome のサンドボックス保護メカニズムを回避できるようになり、マルウェアをインストールして被害者のコンピュータを制御するための重要なステップとなります。

CVE-2'25-2783 脆弱性に対するパッチが、Google によって Chrome バージョン 134.0.6998.178 に統合されました。 Googleは現在、ユーザーにアップデートの時間を与え、ハッカーによる悪用が広まるのを防ぐため、脆弱性に関する技術的な詳細の公開を制限している。

写真: THE HACKER NEWSのスクリーンショット

この脆弱性を発見し報告したのは、Kaspersky の 2 人のセキュリティ研究者、Boris Larin 氏と Igor Kuznetsov 氏です。より詳細なレポートの中で、カスペルスキーは、この Chrome の脆弱性が「Operation ForumTroll」と呼ばれる標的型攻撃キャンペーンの重要なリンクであったことを明らかにしました。

このキャンペーンでは、科学および専門家フォーラム「プリマコフ・リーディングス」の主催者からの招待状を装った、巧妙なフィッシングメールが使用されました。これらの電子メールの標的となったのは、ロシアのメディア、教育機関、政府機関だった。被害者が電子メール内の悪意のあるリンクをクリックすると、マルウェアが展開される危険な Web サイトにリダイレクトされます。

カスペルスキーは、Operation ForumTrollの背後にいる攻撃者は別の脆弱性も利用してリモートでコードを実行したが、Chromeの脆弱性CVE-2'25-2783にパッチを当てるだけで感染チェーン全体を断ち切るのに十分だったと述べた。マルウェアの複雑さから、カスペルスキー社はこの攻撃の最終目的はサイバースパイ活動である可能性があると考えている。

この脆弱性が積極的に悪用されているため、特に Windows オペレーティング システムの Google Chrome ユーザーは、早急にブラウザを確認し、バージョン 134.0.6998.178 以降に更新することをお勧めします。