Google Chrome 沙箱逃逸漏洞(CVE-2025-2783)

深瞳漏洞实验室 深信服千里目安全技术中心 2025-03-26 16:02

漏洞名称：

Google Chrome 沙箱逃逸漏洞(CVE-2025-2783)

组件名称：

谷歌-Chrome

影响范围：

Chrome (windows) < 134.0.6998.177

漏洞类型：

代码执行

利用条件：

1、用户认证：不需要用户认证

2、前置条件：默认配置

3、触发方式：远程

综合评价：

<综合评定利用难度>：容易，能造成代码执行。

<综合评定威胁等级>：高危，能造成代码执行。

官方解决方案：

已发布

漏洞分析

组件介绍

Google Chrome是一款由Google公司开发的网页浏览器，该浏览器基于其他开源软件撰写，包括WebKit，目标是提升稳定性、速度和安全性，并创造出简单且有效率的使用者界面。

漏洞简介

2025年3月26日，深瞳漏洞实验室监测到一则Google Chrome组件存在沙箱逃逸漏洞的信息，漏洞编号：CVE-2025-2783，漏洞威胁等级：高危。

该漏洞允许攻击者操纵Windows 中的 Mojo IPC绕过浏览器的沙箱系统，未授权执行任意代码，导致主机失陷。注意：该漏洞已发现在野利用。

影响范围

目前受影响的Google Chrome版本：

Google Chrome (windows) < 134.0.6998.177

解决方案

如何检测组件系统版本

打开Chrome浏览器，点击设置—关于Chrome即可查看当前版本。

官方修复建议

官方已发布最新版本修复该漏洞，建议受影响的Windows用户将Chrome浏览器更新到134.0.6998.177及以上版本。下载链接：https://www.google.cn/chrome

深信服解决方案

风险资产发现

支持对Chrome的主动检测，可批量检出业务场景中该事件的
受影响资产情况，相关产品如下：

【深信服统一端点安全管理系统aES】 已发布资产检测方案，指纹ID:0000398。

参考链接

https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html

时间轴

2025/3/26

深瞳漏洞实验室监测到Google Chrome 沙箱逃逸漏洞信息。

2025/3/26

深瞳漏洞实验室发布漏洞通告。

点击阅读原文，及时关注并登录深信服智安全平台，可轻松查询漏洞相关解决方案。