انتشار نسخه 133 مرورگر کروم و پچ ۱۲ آسیب پذیری در آن!

تیم گوگل کروم (Google Chrom)، چهارم فوریه ۲۰۲۵ به‌طور رسمی نسخه 133 کروم را منتشر کرد و اکنون برای سیستم عامل‌های ویندوز و مک (نسخه 133.0.6943.53/54) و لینوکس (نسخه 133.0.6943.53) در دسترس می‌باشد. این به ‌روزرسانی شامل مجموعه‌ای از اصلاحات امنیتی برای بهبود عملکرد مرورگر کروم است.

به‌روزرسانی اخیر، ۱۲ آسیب ‌پذیری امنیتی را پچ می‌کند، از جمله دو باگ use-after-free با شدت بالا که می‌توانند به مهاجمان اجازه دهند تا از مشکلات مدیریت حافظه سوءاستفاده کرده و کد مخرب را از راه دور اجرا کنند.

آسیب ‌پذیری Use-after-free زمانی رخ می‌دهد که یک برنامه پس از آزادسازی یا تخصیص مجدد حافظه، همچنان از آن استفاده کند. این می‌تواند منجر به رفتارهای غیرقابل پیش‌بینی، از جمله کرش کردن برنامه یا اجرای کدهای مخرب شود. مهاجمان اغلب از این آسیب ‌پذیری‌ها برای دسترسی غیرمجاز یا کنترل سیستم‌ها استفاده می‌کنند.

سه مورد از مهمترین آسیب پذیری‌های پچ شده در نسخه ۱۳۳ مرورگر کروم به شرح زیر است:

CVE-2025-0444: آسیب پذیری use-after-free در  Skia

این آسیب ‌پذیری با شدت بالا توسط یک محقق امنیتی به نام فرانسیسکو آلونزو (@revskills) در تاریخ 19  ژانویه 2025 گزارش شد. Skia  کتابخانه گرافیکی دو بُعدی کروم است و یک آسیب پذیری use-after-free در این کامپوننت می‌تواند به مهاجمان اجازه دهد تا حافظه را دستکاری کرده و کد دلخواه را اجرا کنند. گوگل برای این مشارکت به آلونزو مبلغ ۷۰۰۰ دلار جایزه اهدا کرد.

CVE-2025-0445: آسیب پذیری use-after-free در  V8

CVE-2025-0445 یک آسیب ‌پذیری use-after-free دیگر با شدت بالا در V8، موتور جاوااسکریپت کروم است. این آسیب ‌پذیری توسط یک محقق ناشناس (با عنوان “303f06e3”) در تاریخ 27  ژانویه 2025 شناسایی شده است و خطرات قابل توجهی برای اجرای کد از راه دور به همراه دارد.

CVE-2025-0451: پیاده‌سازی نامناسب در API افزونه‌ها

CVE-2025-0451 یک آسیب ‌پذیری با شدت متوسط است که در API  افزونه‌های کروم وجود دارد. این آسیب ‌پذیری توسط ویتور تورس و آلساندرو اورتیز گزارش شده است و ناشی از پیاده‌سازی نادرست در API افزونه‌ها می‌باشد که باعث می‌شود برخی از افزونه‌ها نتوانند به‌درستی محدودیت‌های امنیتی را رعایت کنند. سوء استفاده از این آسیب پذیری می‌تواند موجب تهدیداتی برای امنیت کاربران شود.

واکنش و تدابیر امنیتی گوگل

گوگل دسترسی به اطلاعات دقیق درباره این آسیب ‌پذیری‌ها را محدود کرده است تا کاربران زمان بیشتری برای به روزرسانی مرورگرهای خود داشته باشند. این اقدام احتیاطی به این دلیل است که مهاجمان نتوانند از این آسیب ‌پذیری‌ها پیش از آن که کاربران محافظت شوند، سوءاستفاده کنند.

علاوه بر رفع مشکلات گزارش ‌شده از سوی منابع خارجی، گوگل همچنین تعدادی اصلاحات را از طریق بررسی‌های داخلی و ابتکارات fuzzing انجام داده است. ابزارهایی مانند AddressSanitizer، MemorySanitizer، UndefinedBehaviorSanitizer و دیگر ابزارها در شناسایی این باگ‌ها در طول فرایند توسعه نقش اساسی داشته‌اند.

با توجه به شدت آسیب ‌پذیری‌های پچ ‌شده در این نسخه، به کاربران اکیدا توصیه می‌شود که هر چه سریع‌تر مرورگرهای خود را به‌روزرسانی کنند. عدم انجام این کار می‌تواند سیستم‌ها را در معرض حملات احتمالی قرار دهد.

به‌روزرسانی کروم

برای به‌روزرسانی کروم:

1. کروم را باز کنید.
2. روی منوی سه نقطه در گوشه بالا سمت راست کلیک کنید.
3. به مسیر Help > About Google Chrome بروید.
4. مرورگر به‌طور خودکار به‌روزرسانی‌ها را بررسی کرده و در صورت موجود بودن، آن‌ها را نصب خواهد کرد.
5. کروم را ریستارت کنید تا فرایند به‌روزرسانی تکمیل گردد.

تیم کروم همچنان به تعهد خود به امنیت کاربران از طریق اقدامات پیشگیرانه‌ای مانند بررسی‌های داخلی و همکاری با محققان خارجی ادامه می‌دهد. به‌روزرسانی‌های آتی علاوه بر افزودن ویژگی‌های جدید، بهبودهای بیشتری در امنیت به همراه خواهند داشت.

منابع