آسیب‌پذیری روز صفر جدید کروم به‌طور فعال مورد بهره‌برداری قرار گرفت؛ گوگل وصله اضطراری خارج از برنامه منتشر کرد!

گوگل روز دوشنبه ۲ ژوئن ۲۰۲۵ اصلاحات خارج از برنامه‌ای را برای رفع سه مشکل امنیتی در مرورگر کروم خود منتشر کرد، ازجمله یکی از آن‌ها که گفته می‌شود مورد بهره‌برداری فعال در سطح اینترنت قرار گرفته است.

این نقص با شدت بالا با شناسه CVE-2025-5419 (امتیاز ۸٫۸ در CVSS) ردیابی می‌شود و به‌عنوان یک آسیب‌پذیری خواندن و نوشتن خارج از محدوده در موتور جاوا اسکریپت V8 و WebAssembly علامت‌گذاری شده است.

در توضیحات[۱] این اشکال در پایگاه داده ملی آسیب‌پذیری (NVD) موسسه ملی استاندارد و فناوری (NIST) آمده است: «خواندن و نوشتن خارج از محدوده در V8 در گوگل کروم قبل از نسخه ۱۳۷٫۰٫۷۱۵۱٫۶۸ به یک مهاجم از راه دور اجازه می‌داد تا به‌طور بالقوه از طریق یک صفحه HTML دستکاری‌شده، از فساد پشته بهره‌برداری کند.»

گوگل، کلمنت لسین و بنوا سون از گروه تحلیل تهدید گوگل (TAG) را به خاطر کشف و گزارش این نقص در ۲۷ مه ۲۰۲۵ موردتقدیر قرار داد. همچنین خاطرنشان کرد که این مشکل روز بعد با اعمال تغییر پیکربندی در نسخه پایدار مرورگر در تمام پلتفرم‌ها برطرف شد.

طبق معمول، این توصیه‌نامه جزئیات مربوط به ماهیت حملاتی که از این آسیب‌پذیری استفاده می‌کنند یا هویت عاملان تهدیدکننده‌ای که آن‌ها را مرتکب می‌شوند، را به‌روشنی شرح می‌دهد. این کار به این منظور انجام می‌شود که اکثر کاربران با یک وصله به‌روزرسانی شوند و از پیوستن سایر عاملان بد به این موج بهره‌برداری جلوگیری شود.

این غول فناوری اذعان کرد[۲]: “گوگل آگاه است که یک بهره‌برداری برای CVE-2025-5419 در فضای مجازی وجود دارد.”

CVE-2025-5419 دومین آسیب‌پذیری روز صفر فعال مورد بهره‌برداری است که امسال توسط گوگل وصله شده است. پس از CVE-2025-2783 (امتیاز ۸٫۳ در CVSS) که توسط کسپرسکی به‌عنوان سلاحی در حملاتی که سازمان‌های روسیه را هدف قرار می‌دهند، شناسایی شده است[۳].

CVE-2025-5419 دومین آسیب‌پذیری روز صفر فعال مورد بهره‌برداری است که امسال توسط گوگل وصله شده است. به کاربران توصیه می‌شود برای محافظت در برابر تهدیدات احتمالی، مرورگر کروم خود را به نسخه‌های ۱۳۷.۰.۷۱۵۱.۶۸/.۶۹ برای ویندوز و macOS و نسخه ۱۳۷.۰.۷۱۵۱.۶۸ برای لینوکس ارتقا دهند. همچنین به کاربران مرورگرهای مبتنی بر کرومیوم مانند مایکروسافت اج، بریو، اپرا و ویوالدی توصیه می‌شود که اصلاحات را به‌محض انتشار اعمال کنند.

  منابع

[۱] https://nvd.nist.gov/vuln/detail/CVE-2025-5419

[۲] https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop.html

[۳] https://thehackernews.com/2025/03/zero-day-alert-google-releases-chrome.html

[۴] https://thehackernews.com/2025/06/new-chrome-zero-day-actively-exploited.html