CVE-2025-2783

Google Chromium Mojo

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-03-27

Официальное описание

Google Chromium Mojo on Windows contains a sandbox escape vulnerability caused by a logic error, which results from an incorrect handle being provided in unspecified circumstances. This vulnerability could affect multiple web browsers that utilize Chromium, including, but not limited to, Google Chrome, Microsoft Edge, and Opera.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-2783 представляет собой критическую уязвимость типа «Sandbox Escape» (выход за пределы песочницы) в механизме межпроцессного взаимодействия (IPC) Google Chromium Mojo на платформе Windows.

Проблема вызвана логической ошибкой при обработке дескрипторов (handles). В определенных сценариях система предоставляет некорректный или привилегированный дескриптор процесса, что позволяет вредоносному коду, запущенному в изолированном процессе рендеринга (низкий уровень доверия), взаимодействовать с объектами операционной системы вне рамок ограничений песочницы. Это дает атакующему возможность выполнять произвольный код с правами текущего пользователя в основной операционной системе.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление кодовой базы Chromium до версии, в которой исправлена логика передачи дескрипторов в Mojo.

Для системных администраторов (Windows/AD):

Обновите Google Chrome до версии 134.0.6998.35/.36 или выше.

Get-Package -Name "Google Chrome" | Update-Package

Для принудительного обновления через групповые политики (GPO) используйте административные шаблоны Google Update для немедленного запуска проверки обновлений.

gpupdate /force

Для пользователей Microsoft Edge:

Обновите браузер до версии 134.0.3124.X или выше через внутреннее меню «О программе».

Для разработчиков (Chromium-based проекты):

Необходимо выполнить синхронизацию с upstream-репозиторием Chromium и применить патчи, касающиеся подсистемы //mojo/public/cpp/system.

git fetch origin && git checkout stable && gclient sync

Временные меры

Если немедленное обновление невозможно, используйте следующие методы для снижения риска эксплуатации:

  1. Включение усиленной защиты песочницы (AppContainer): Убедитесь, что в системе не отключены механизмы изоляции через реестр.
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Google\Chrome" -Name "RendererCodeIntegrityEnabled" -Value 1

  1. Использование политик ограничения запуска (Software Restriction Policies): Запретите выполнение кода из временных папок браузера, чтобы предотвратить запуск полезной нагрузки после возможного выхода из песочницы.

  2. Сетевая изоляция: Ограничьте права доступа процессов браузера к чувствительным внутренним ресурсам сети с помощью Windows Defender Firewall, чтобы минимизировать ущерб в случае компрометации хоста.

New-NetFirewallRule -DisplayName "Block Chrome Local Access" -Program "C:\Program Files\Google\Chrome\Application\chrome.exe" -Direction Outbound -Action Block -RemoteAddress LocalSubnet
  1. Режим "Strict Isolation": Запустите браузер с флагом изоляции каждого сайта в отдельном процессе (хотя это не устраняет баг в Mojo, это усложняет цепочку эксплуатации).
start chrome.exe --site-per-process
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей