کروم ۱۳۴ و فایرفاکس ۱۳۶ آسیب‌پذیری‌های با شدت بالا را پچ کردند!

شرکت‌های گوگل و موزیلا نسخه‌های جدیدی از مرورگرهای کروم 134(نسخه ۱۳۴) و فایرفاکس 136 (نسخه ۱۳۶) را منتشر کرده‌اند که چندین آسیب‌پذیری با شدت بالا را برطرف می‌سازد. این به‌روزرسانی‌ها به منظور جلوگیری از سوءاستفاده‌های احتمالی ارائه شده‌اند که می‌توانستند امنیت کاربران را تهدید کنند.

ویژگی های کروم 134

گوگل، نسخه ۱۳۴ مرورگر کروم را منتشر کرد که شامل ۱۴ اصلاح امنیتی است. از این تعداد، ۹ مورد برای نقص‌های امنیتی گزارش‌شده توسط پژوهشگران خارجی بوده است.

جدی‌ترین نقص‌ها با شناسه CVE-2025-1914 شناخته می‌شود که یک باگ در خواندن خارج از محدوده(out-of-bounds read) با شدت بالا در موتور جاوااسکریپت V8 است. این نقص امنیتی برای دو پژوهشگری که آن را گزارش داده‌اند، بانتی ۷,۰۰۰ دلاری از برنامه باگ بانتی به همراه داشته است.

این به‌روزرسانی جدید کروم، ۶ نقص با شدت متوسط را که از خارج گزارش شده‌اند، برطرف کرده است. این موارد شامل محدودیت نادرست در DevTools، آسیب پذیری use-after-free در بخش پروفایل‌ها، پیاده‌سازی نادرست در رابط کاربری مرورگر و فناوری Media Stream و خواندن خارج از محدوده در PDFium هستند.

همچنین دو نقص با شدت پایین مربوط به پیاده‌سازی نادرست در بخش انتخاب (Selection) و درخواست‌های مجوز (Permission Prompts) در این نسخه مرورگر اصلاح شده‌اند.

گوگل اعلام کرده است که در مجموع ۲۷,۰۰۰ دلار به عنوان پاداش باگ بانتی به پژوهشگران گزارش‌دهنده این آسیب‌پذیری‌ها پرداخت کرده است، اما فعلاً جزئیات این نقص‌ها را محدود نگه داشته است.

نسخه جدید کروم اکنون با شماره 134.0.6998.35 برای لینوکس، شماره‌های 134.0.6998.35/36 برای ویندوز و شماره‌های 134.0.6998.44/45 برای macOS در حال انتشار است. کانال پایدار گسترده کروم (Extended stable channel) نیز به نسخه 134.0.6998.36 برای ویندوز و نسخه 134.0.6998.45 برای macOS به‌روزرسانی شده است.

ویژگی های فایرفاکس ۱۳۶

موزیلا نیز فایرفاکس ۱۳۶ را به کانال پایدار ارتقا داده است که اصلاحاتی برای ۱۵ آسیب‌پذیری ارائه می‌دهد. این موارد شامل ۸ نقص با شدت بالا، ۵ نقص با شدت متوسط و ۲ نقص با شدت پایین است.

آسیب‌پذیری‌های با شدت بالا می‌توانستند به فرار از محیط sandbox، فریب کاربران برای اعطای مجوزهای حساس، کرش های بالقوه قابل exploit، دسترسی خارج از محدوده قابل سوءاستفاده و اجرای کد دلخواه منجر شوند.

روز 4 مارس، موزیلا همچنین انتشار فایرفاکس ESR 128.8 را با اصلاح ۱۰ آسیب‌پذیری (شامل یک نقص بحرانی و ۶ نقص با شدت بالا) و فایرفاکس ESR 115.21 را با رفع ۵ نقص امنیتی (یک نقص بحرانی و ۴ نقص با شدت بالا) اعلام کرد.

نسخه 136 و ESR 128.8 نرم افزار Thunderbird نیز در روز 4 مارس منتشر شدند که به ترتیب اصلاحاتی برای ۱۱ و ۱۰ آسیب‌پذیری ارائه می‌دهند.

نه گوگل و نه موزیلا هیچ اشاره‌ای به بهره‌برداری از این نقص‌های امنیتی در دنیای واقعی نکرده‌اند. با این حال، به کاربران توصیه شده است که در اسرع وقت برنامه‌های خود را به‌روزرسانی کنند.

منابع: