HackerNews 编译，转载请注明出处： Palo Alto Networks研究人员发现谷歌Chrome浏览器漏洞（CVE-2026-0628），恶意扩展程序可利用该漏洞控制Gemini Live AI助手，实施用户监控并窃取敏感文件。 报告指出：”我们在Chrome新版Gemini功能实现中发现高危安全漏洞，攻击者可借此侵入浏览器环境并访问本地操作系统文件。具体而言，该漏洞允许拥有基础权限的恶意扩展劫持Chrome浏览器面板中的Gemini Live。” Chrome侧边栏AI助手Gemini Live用于实时内容摘要、执行任务及理解网页上下文。作为”AI浏览器”核心组件，其深度集成带来便利的同时也产生风险。 该漏洞于Chrome 143版本修复。拥有declarativeNetRequests权限的恶意扩展可向Gemini面板注入JavaScript代码，而非仅限于标准Gemini标签页。由于面板是可信浏览器组件，劫持后可获得超越普通扩展的提权能力，包括访问本地文件、截图、摄像头和麦克风，无需用户额外授权即可实施钓鱼或监控。 研究人员向谷歌演示了普通扩展劫持Gemini面板后可执行的操作：实施钓鱼攻击、未经同意启动摄像头和麦克风、访问底层操作系统本地文件和目录、对HTTPS网站标签页截图。 基于扩展的攻击常被低估，但AI浏览器功能提升了风险等级。该漏洞于2025年10月23日负责任披露给谷歌，2026年1月初修复。报告结论称：”尽管AI浏览器功能可改善用户体验，持续监控潜在安全漏洞至关重要。” 消息来源：securityaffairs.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一起大规模数据窃取活动曝光：287 款 Chrome 扩展程序秘密窃取全球约 3740 万用户的浏览历史。 代号 qcontinuum1 的研究人员发现，受影响用户约占全球 Chrome 用户总量的 1%，这是一起波及数百万网民的重大隐私泄露事件。 研究人员搭建了基于 Docker 容器与中间人代理的自动化扫描系统，用于检测可疑网络行为。 该系统监控扩展程序的外发流量，判断数据传输是否与 URL 长度相关 —— 这是识别浏览历史窃取行为的核心特征。 中间人代理拦截恶意 Chrome 扩展程序流量（来源：GitHub） 这些恶意扩展使用多种混淆技术掩盖其窃取行为。 部分扩展采用 ROT47 编码，还有部分使用 AES-256 加密搭配 RSA 密钥对，对浏览数据加密后再传输至远程服务器。 知名扩展程序 “Poper Blocker”“Stylish”“BlockSite” 均被列入恶意程序名单。调查发现，多家数据经纪商参与了用户信息的收集活动。 知名网络分析公司 Similarweb 运营多款扩展，包括其官方产品 “Website Traffic & SEO Checker”，该扩展拥有 100 万用户。 研究还发现与 Similarweb 关联的 Big Star Labs，其管控的扩展程序影响 370 万用户。 即便安装量达 600 万的正规安全工具 Avast Online Security，也因存在数据收集行为被标记。 隐私安全影响 被窃取的浏览数据除用于精准广告外，还会带来多重严重风险。 若员工安装看似无害的办公类扩展，这些程序会窃取内部 URL、内网地址与 SaaS 平台面板链接，为企业间谍活动提供可乘之机。 URL 通常包含个人标识信息，恶意分子可借此对特定人员实施精准攻击。研究人员搭建蜜罐陷阱，监测到第三方爬虫工具在主动收集被盗数据。 扩展程序泄露 Honey URL（来源：GitHub） 与 Kontera 等公司关联的多个 IP 地址反复访问蜜罐，表明存在一个利用用户浏览历史牟利的完整黑色产业链。 用户应立即核查已安装的 Chrome 扩展，卸载研究报告中列出的恶意程序。Chrome 网上应用店约有 24 万款扩展，人工逐一核验难度极大。 依据 qcontinuum1 的安全建议，专家推荐仅安装可审核代码的开源扩展，并在安装前仔细核查权限申请。 研究团队刻意未披露具体技术细节，避免攻击者快速调整作案手段。     消息来源：cybersecuritynews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Chrome 稳定版通道已推送 144.0.7559.109 和 144.0.7559.110 版本，修复了 Background Fetch API 中存在的一项高危安全漏洞。 该更新将在未来数天至数周内向 Windows、Mac 和 Linux 系统逐步推送，用户务必尽快将浏览器更新至最新版本。 本次安全修复的核心是漏洞 CVE-2026-1504，这是一个影响 Background Fetch API 功能实现的高危漏洞。 该漏洞被归类为功能“实现不当”问题，可能被威胁攻击者利用。 此漏洞由安全研究员 Luan Herrera 于 2026 年 1 月 9 日发现并上报，且凭借该漏洞获得谷歌漏洞奖励计划（Vulnerability Reward Program）3000 美元赏金。 Background Fetch API是一项网络标准，允许网络应用在后台下载大型文件，即使用户关闭了浏览器标签页或离开了该网站。 此实现中的漏洞可能使攻击者能够操纵后台获取操作。不过，在大多数用户安装补丁之前，具体的漏洞利用细节将暂不公开。 此次更新体现了 Chrome 对安全性的持续投入，并进一步巩固了浏览器的多层防御体系。 谷歌部署了 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、Control Flow Integrity、libFuzzer 及 AFL 等多款先进检测工具，用于发现安全问题并阻止其流入稳定版通道。 Chrome 144.0.7559 版本更新已立即启动推送。但为确保系统稳定性并便于监控，更新将分阶段进行，持续数周。 用户可通过访问 Chrome 设置菜单中的“检查更新”来手动安装更新。 Windows 和 Mac 用户应更新至版本 144.0.7559.109 或 144.0.7559.110，Linux 用户则应更新至 144.0.7559.109版本。 安全专家建议，尤其是依赖搭载 Background Fetch API 的 Web 应用的企业用户与个人用户，应优先安装此更新。 管理大量 Chrome 部署的企业组织应在更新期间密切关注推送情况，并验证相关应用的兼容性。 本次构建所包含的全部更改的完整列表，可在官方的 Chrome 提交日志中查看。 若在更新后遇到问题，用户可通过漏洞报告系统提交反馈，或前往 Chrome 社区帮助论坛寻求支持。 谷歌将持续与全球安全研究人员合作，不断强化 Chrome 的安全防护能力，竭力防止漏洞对用户造成影响。 消息来源：cybersecuritynews ； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现，Chrome 网上应用店中存在两款新的恶意扩展程序，专门用于窃取用户与 OpenAI ChatGPT 及 DeepSeek 的聊天记录，并将浏览数据一并上传至攻击者控制的服务器。 这两款扩展程序的名称及其用户数量如下： Chat GPT for Chrome with GPT-5, Claude Sonnet & DeepSeek AI（ID：fnmihdojmnkclgjpcoonokmkhjpjechg，用户量约 60 万） AI Sidebar with Deepseek, ChatGPT, Claude, and more.（ID：inhcgfpbfdjbjogdfjbclgolkmhnooop，用户量约 30 万） 此次发现紧随另一起事件：拥有数百万安装量的 Urban VPN Proxy 扩展程序也被曝出暗中监控用户与 AI 聊天机器人的对话。Secure Annex 将这种通过浏览器扩展窃取 AI 对话的行为命名为 “Prompt Poaching”（提示词掠夺）。 OX Security 的研究员 Moshe Siman Tov Bustan 表示，这两款新发现的扩展程序“每 30 分钟将用户的聊天记录及所有 Chrome 标签页 URL 上传至远程 C2 服务器”。他指出：“这些恶意软件通过请求用户授权‘匿名、不可识别的分析数据’，实则窃取了 ChatGPT 与 DeepSeek 的完整对话内容。” 这两款恶意扩展程序伪装成合法扩展 “Chat with all AI models (Gemini, Claude, DeepSeek…) & AI Agents”（由 AITOPIA 开发，用户量约 100 万）。截至发稿时，这两款扩展仍可在 Chrome 网上应用店下载，不过前者已被取消了“精选”标识。 安装后，这些扩展会诱导用户授权其收集“匿名浏览行为数据”，声称用于优化侧边栏体验。一旦用户同意，嵌入的恶意代码便开始收集浏览器标签页信息及 AI 聊天内容。 具体做法是：扩展程序会查找网页中的特定 DOM 元素，提取聊天消息并本地存储，随后上传至远程服务器（如 chatsaigpt[.]com 或 deepaichats[.]com）。 更令人担忧的是，攻击者还利用 AI 驱动的网页开发平台 Lovable 托管其隐私政策及其他基础设施（如 chataigpt[.]pro 或 chatgptsidebar[.]pro），以掩盖其恶意行为。 安装此类扩展的后果可能非常严重，因为它们不仅能窃取用户与 ChatGPT、DeepSeek 的对话内容，还能获取浏览记录、搜索关键词甚至企业内部 URL。 OX Security 警告称：“这些数据可能被用于企业间谍活动、身份盗用、定向钓鱼攻击，或在地下论坛出售。若企业员工安装了这些扩展，可能在不知情的情况下泄露了知识产权、客户数据及商业机密。” 合法扩展也加入“Prompt Poaching”行列 Secure Annex 还指出，一些看似合法的浏览器扩展也在进行“Prompt Poaching”，包括： Similarweb（用户量约 100 万） Sensor Tower 的 Stayfocusd（用户量约 60 万） Similarweb 据称于 2025 年 5 月引入了监控 AI 对话的功能，并在 2026 年 1 月 1 日的更新中弹出了完整的服务条款，明确告知用户其输入至 AI 工具的数据将被收集，用于“深入分析流量与参与度指标”。其 2025 年 12 月 30 日的隐私政策更新也明确指出： 此类信息包括您输入或提交至某些人工智能工具的提示词、查询、内容、上传或附加的文件（如图片、视频、文本、CSV 文件）及其他输入内容，以及您从这些 AI 工具中获得的输出结果（包括任何附加文件）——统称为“AI 输入与输出”。 鉴于 AI 工具中常见的 AI 输入与输出及元数据的性质，可能会无意中收集或处理某些敏感数据。然而，我们的处理目的并非为了识别您的身份。尽管我们无法保证所有个人数据都被移除，但我们会尽可能采取措施过滤或移除您输入至这些 AI 工具中的识别信息。 进一步分析发现，Similarweb 使用 DOM 抓取或劫持浏览器原生 API（如 fetch() 和 XMLHttpRequest()）——与 Urban VPN Proxy 类似——通过加载远程配置文件，实现对 ChatGPT、Claude、Gemini 和 Perplexity 的对话数据抓取。 Secure Annex 的 John Tuckner 告诉 The Hacker News，这种行为在 Chrome 和 Edge 版本的 Similarweb 扩展中均存在。其 Firefox 版本最后一次更新是在 2019 年。 Tuckner 表示：“显然，‘Prompt Poaching’已经到来，正在窃取你最敏感的对话内容，而浏览器扩展就是其利用的载体。目前尚不清楚这是否违反了谷歌‘扩展应单一用途、不得动态加载代码’的政策。” “这仅仅是开始。越来越多的公司将意识到这些数据的价值。扩展开发者为了变现，也会将这类由营销公司提供的复杂库集成到自己的应用中。” 建议 若您已安装上述扩展程序并担心隐私泄露，建议立即卸载，并避免安装来源不明的扩展，即使它们带有“精选”标签。   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现一款恶意Chrome扩展程序，该程序伪装成合法以太坊钱包，实则具备窃取用户助记词的功能。 这款名为“Safery: Ethereum Wallet”的扩展由威胁攻击者描述为”具备灵活设置的以太坊加密货币安全管理钱包”，于2025年9月29日上传至Chrome应用商店，最近更新日期为11月12日。截至发稿前仍可下载。 Socket安全研究员基里尔·博伊琴科指出：”该扩展虽被宣传为简易安全的以太坊钱包，实则包含通过Sui地址编码助记词的后门，并从攻击者控制的Sui钱包发起微交易实施窃取。” 该浏览器插件的恶意代码专门设计用于窃取钱包助记词，其通过将助记词编码为虚假Sui钱包地址，随后从硬编码的攻击者控制钱包向这些地址发送0.000001 SUI微交易。这种手法的最终目标是将助记词隐藏在看似正常的区块链交易中进行走私，无需架设C2服务器接收信息。交易完成后，攻击者可通过解码收款地址重建原始助记词，最终转移全部资产。 Koi安全团队在分析报告中强调：”该扩展通过将助记词编码为虚假Sui地址并发送微交易实施窃取，攻击者仅需监控区块链、将地址解码回助记词即可清空受害者资产。” 为应对此类威胁，建议用户坚持使用可信钱包扩展。安全防护人员应扫描扩展是否包含助记词编码器、合成地址生成器及硬编码助记词，并阻断在钱包导入或创建期间执行链上写入操作的扩展。 博伊琴科补充道：”该技术使威胁攻击者能轻松切换链和RPC端点，依赖域名、URL或特定扩展ID的检测手段将失效。对于浏览器中意外的区块链RPC调用应保持高度警觉，特别是当产品宣称仅支持单链时。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在周三发布了Chrome网络浏览器的安全更新，以解决四个漏洞，其中包括一个已被证实存在野外利用的漏洞。 这个零日漏洞是CVE-2025-10585，被描述为V8 JavaScript和WebAssembly引擎中的类型混淆问题。 类型混淆漏洞可能会产生严重后果，因为恶意行为者可以利用这些漏洞触发意外的软件行为，导致执行任意代码和程序崩溃。 谷歌威胁分析小组（TAG）在2025年9月16日发现了这个漏洞并进行了报告。 正如通常的情况一样，该公司没有分享关于该漏洞在现实世界攻击中如何被滥用、被谁滥用以及这种攻击的规模等额外细节。这是为了防止其他威胁行为者在用户能够应用修复之前利用该问题。 “谷歌知道CVE-2025-10585的利用程序存在于野外，”它在一份简短的咨询中承认。 CVE-2025-10585是自今年年初以来，第六个被积极利用或作为概念验证（PoC）展示的Chrome零日漏洞。这包括：CVE-2025-2783、CVE-2025-4664、CVE-2025-5419、CVE-2025-6554和CVE-2025-6558。 为了防范潜在威胁，建议用户将他们的Chrome浏览器更新到Windows和苹果macOS的140.0.7339.185/.186版本，以及Linux的140.0.7339.185版本。为了确保安装了最新的更新，用户可以导航到更多>帮助>关于Google Chrome，并选择重新启动。 其他基于Chromium的浏览器用户，如微软Edge、Brave、Opera和Vivaldi，也建议在修复程序可用时尽快应用。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌已发布安全更新，修复其Chrome浏览器中一个已被野外利用的零日漏洞（CVE-2025-6554，CVSS评分暂缺）。该漏洞被描述为V8 JavaScript与WebAssembly引擎中的类型混淆缺陷。 根据美国国家标准与技术研究院（NIST）国家漏洞数据库（NVD）的说明：”Chrome 138.0.7204.96之前版本中，V8引擎的类型混淆漏洞允许远程攻击者通过特制HTML页面执行任意内存读写操作。” 类型混淆漏洞危害严重，可能被利用触发软件异常行为，导致任意代码执行或程序崩溃。此类零日漏洞风险极高，因其常在补丁发布前就被攻击者武器化。实际攻击中，黑客可能通过诱导用户访问恶意网站，悄无声息地安装间谍软件、发起偷渡式下载或植入恶意代码。 该漏洞由谷歌威胁分析小组（TAG）的Clément Lecigne于2025年6月25日发现并报告。TAG通常负责追踪国家级攻击或监控行动，此次披露暗示漏洞可能已被用于高度定向的攻击，涉及政府支持的黑客或间谍活动。 谷歌表示，漏洞在次日（6月26日）已通过配置更新缓解，并推送至全平台稳定版通道。普通用户虽暂未面临大规模威胁，但立即更新补丁至关重要，尤其针对处理敏感数据的高价值目标。 尽管谷歌未透露漏洞利用细节及攻击者信息，但确认”CVE-2025-6554的野外利用已存在”。这是谷歌2025年修复的第四个Chrome零日漏洞，此前三个分别为CVE-2025-2783、CVE-2025-4664和CVE-2025-5419（其中CVE-2025-4664是否遭恶意利用尚不明确）。 用户防护建议： 1. 立即升级Chrome至以下版本： Windows/macOS: 138.0.7204.96/.97 Linux: 138.0.7204.96 2. 检查更新路径：Chrome设置 → 帮助 → 关于Google Chrome（浏览器将自动检测并安装最新版本）。 3. 企业/IT团队需启用自动补丁管理，监控终端浏览器版本合规性。 4. 其他基于Chromium的浏览器（Edge、Brave、Opera、Vivaldi等）用户需等待厂商发布修复补丁后及时更新。 （注：谷歌通常会在漏洞被完全修复后公开更多技术细节，建议持续关注官方安全公告。）   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 未知攻击者自2024年2月起在Chrome应用商店投放多款恶意扩展程序，这些程序表面提供生产力工具、VPN、加密服务等实用功能，实则暗藏数据窃取、远程代码执行等恶意模块。 网络安全公司DomainTools调查发现，攻击者搭建仿冒DeepSeek、Manus、DeBank等知名服务的钓鱼网站，诱导用户安装对应扩展。这些扩展通过manifest.json文件申请过度权限，可劫持浏览器会话、注入广告、执行远程服务器下发的任意代码，甚至利用临时DOM元素的“onreset”事件处理器绕过内容安全策略（CSP）。 部分恶意扩展被检测到与超过100个仿冒网站相关联，其中一些网站嵌入了Facebook追踪ID，暗示攻击者可能通过Meta平台（如群组、广告）进行传播。用户安装后，扩展会窃取浏览器Cookie、建立WebSocket代理通道，并操控流量实现重定向攻击。 尽管Google已下架相关扩展，但安全专家指出，攻击者通过在应用商店和常规搜索结果中同时存在虚假页面，大幅提升用户中招概率。更隐蔽的是，部分扩展（如仿冒DeepSeek的案例）将低分评价用户重定向至私人反馈表单，而高分评价则正常显示在官方页面，以此伪造虚假好评。 DomainTools建议用户仅从认证开发者处下载扩展，安装前仔细审查权限请求，警惕名称相似的仿冒应用。同时提醒，评分系统可能被恶意过滤负面评价所操控，需结合多方信息综合判断。目前尚未明确攻击者身份，相关调查仍在进行中。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现，数十款Chrome扩展程序（其中多款在Chrome应用商店获得推荐位，但存在搜索引擎未收录的隐藏版本）含有追踪用户的隐蔽功能。这些扩展程序累计安装量已达600万次。 Secure Annex机构研究员John Tuckner揭露了一个由58个扩展程序构成的网络。这些扩展程序均获取了过于宽泛的权限，并暗藏可能恶意操作的功能模块，包括访问Cookie和令牌、监控用户行为、执行远程代码及窃取其他敏感数据。 “这些扩展具备显著的指令控制能力，例如罗列用户高频访问网站、操控浏览器标签页开关、获取用户访问热点等。”研究人员在报告中指出。这些扩展伪装成隐私保护或实用工具，涵盖优惠券搜索器到广告拦截器等多种类型，部分甚至声称能防护其他恶意扩展。 网络安全媒体Cybernews研究团队近期警示称，多数热门Chrome扩展在安装时会索取过度宽泛的侵入性权限。分析数据显示，每100个扩展中就有86个要求获取高危险权限。 Tuckner的发现清单进一步印证了扩展程序的潜在危险性。 被发现的扩展大多处于未上架状态，这意味着普通用户无法通过Chrome应用商店或搜索引擎直接发现。用户仅能通过特定URL链接访问，而此类链接通常通过恶意广告、弹窗、钓鱼欺诈、虚假更新提示等渠道传播。 研究人员强调：”为何这些普通用户无法发现的扩展会被谷歌标注为’推荐’？这完全突破了我的认知底线。普通用户很可能将’推荐’标识等同于官方认证的可靠产品。’推荐’与’不可发现’两种属性绝不应该同时存在。” Tuckner最初通过拼写错误的”unknow[.]com”域名锁定了35个未上架可疑扩展。在Obsidian Security的技术支持下，研究团队将具有相同行为特征的扩展补充至清单。据Bleeping Computer报道，谷歌已获知该研究结果。 目前可疑扩展已上报至Chrome，研究人员持续监控其状态演变。”值得庆幸的是，部分扩展现已被移出Chrome应用商店，但并非全部！为何存在如此差异！”研究人员在社交媒体发文质疑。 Tuckner公开了含有可疑功能的扩展清单，安装量排名前位的包括： 1、Cuponomia优惠券与返现工具（超70万安装） 2、浏览器防护盾（超30万安装） 3、Chrome全安防护（超30万安装） 4、医生版浏览器检测（超20万安装） 这些扩展关联域名均使用相似关键词模式，完整危害指标(IoC)清单已包含在研究报告中。 恶意扩展判定依据分析： 1、权限清单异常：所有Chrome扩展的manifest文件都需声明所需权限。要求获取与基础功能不匹配的过度权限成为首要疑点 2、域名拼写错误：扩展程序通信域名存在明显拼写错误，如”unknow[.]com”具有典型诱导特征 3、代码结构异常：宣称功能的实现代码量极少甚至缺失，核心代码经过深度混淆处理 4、远程控制能力：扩展配置支持远程操控，代码结构具备间谍软件或信息窃取程序家族特征 深度代码分析揭露了Cookie窃取、用户追踪、强制设置搜索引擎、通过推荐参数劫持收益等多项恶意功能。所有问题扩展均采用相同代码模式、回调域名结构及权限配置列表。 Cybernews团队再次警示：Chrome扩展权限直接决定其对浏览器及系统的控制范围。建议用户定期审查并删除闲置扩展，严格遵循安全操作规范。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Mozilla已发布更新，修复了影响其Firefox浏览器的严重安全漏洞。就在几天前，谷歌修复了Chrome中的类似漏洞，该漏洞曾作为零日漏洞在实际攻击中被利用。 这一安全漏洞编号为CVE-2025-2857，被描述为由于错误的句柄管理导致的沙箱逃逸问题。 “在近期Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，Firefox的多位开发人员在我们的IPC（进程间通信）代码中发现了类似的模式。”Mozilla在公告中表示。 “受感染的子进程可能导致父进程返回一个意外的高权限句柄，从而实现沙箱逃逸。” 该漏洞影响了Firefox和Firefox ESR，Mozilla已在以下版本中修复了问题：   – Firefox 136.0.4   – Firefox ESR 115.21.1   – Firefox ESR 128.8.1   目前没有证据表明CVE-2025-2857在野外被利用。 与此同时，谷歌也已发布Chrome 134.0.6998.177/.178版，以修复CVE-2025-2783。该漏洞在针对俄罗斯的媒体机构、教育机构和政府组织的攻击中被积极利用。 卡巴斯基在2025年3月中旬检测到这一活动，称受害者是在点击钓鱼邮件中的恶意链接后遭到感染。当受害者使用Chrome打开攻击者控制的网站时，攻击随即发生。 据悉，攻击者将CVE-2025-2783与另一个未知的浏览器漏洞结合使用，成功逃逸沙箱并执行远程代码。不过，修补该漏洞可有效阻断整个攻击链。 美国网络安全和基础设施安全局（CISA）已将此漏洞添加到其“已知被利用的漏洞”（KEV）目录中，并要求联邦机构在2025年4月17日之前采取必要的缓解措施。 建议用户尽快将浏览器更新至最新版本，以防范潜在的安全风险。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文