Google mengatakan bahawa ia telah memperbaiki kelemahan dalam pelayar Chrome-nya untuk Windows yang digunakan oleh penjenayah untuk meretas komputer mangsa.
Dalam nota ringkas pada hari Selasa, Google mengatakan bahawa ia telah memperbaiki kelemahan tersebut, yang dikenali sebagai CVE-2025-2783, yang ditemui oleh penyelidik di firma keselamatan Kaspersky awal bulan ini.
Google mengatakan bahawa ia sedar akan laporan yang menunjukkan eksploit bagi bug tersebut 'wujud di luar sana'. Bug ini dirujuk sebagai zero-day kerana penerbit - dalam kes ini, Google - tidak diberi masa untuk membetulkan bug sebelum ia dieksploitasi.
Menurut Kaspersky, bug ini dieksploitasi sebagai sebahagian daripada kempen menggodam yang menarget komputer Windows yang menjalankan Chrome.
Dalam satu catatan blog, Kaspersky menamakan kempen tersebut sebagai 'Operation ForumTroll' dan mengatakan mangsa dijadikan sasaran dengan email spear-phishing yang menjemput mereka untuk menghadiri satu persidangan politik global di Rusia. Apabila pautan dalam email tersebut diklik, mangsa dihantar ke laman web yang jahat yang dengan serta-merta mengeksploit bug tersebut untuk mendapatkan akses kepada data PC mangsa.
Kaspersky tidak memberi banyak butiran tentang bug pada masa penerbitan patch Chrome tetapi mengatakan bahawa bug itu membolehkan penyerang melangkau perlindungan sandbox Chrome, yang menghadkan akses pelayar ke data lain dalam komputer pengguna. Kaspersky mengatakan bug ini memberi kesan kepada semua pelayar lain yang bergantung kepada enjin Chromium Google.
Dalam analisis yang berasingan, Kaspersky mengatakan bug tersebut kemungkinan digunakan dalam kempen pengintipan, biasanya direka untuk diam-diam memantau dan mencuri data dari peranti sasaran, biasanya dalam tempoh masa tertentu. Firma keselamatan yang berpusat di Rusia tersebut mengatakan penjenayah menghantar email spear-phishing yang dipersonalisasi kepada wakil media Rusia dan kakitangan di institusi pendidikan.
Tidak jelas siapa yang mengeksploitasi bug tersebut, tetapi Kaspersky menarik kempen ini kepada kumpulan penjenayah yang kemungkinan disokong oleh kerajaan atau dibiayai oleh kerajaan.
Pelayar seperti Chrome sering menjadi sasaran bagi penjenayah dan kumpulan yang disokong oleh kerajaan. Bug zero-day yang mampu merentasi perlindungannya dan mendapatkan akses ke data sensitif peranti mangsa boleh dijual dengan harga tinggi. Pada tahun 2024, broker zero-day menawarkan sehingga $3 juta untuk bug yang boleh dieksploitasi yang boleh dipicu dari internet.
Google mengatakan pembaruan Chrome akan dilancarkan dalam masa beberapa hari dan minggu akan datang.
