گوگل، هجدهم فوریه ۲۰۲۵، دو آسیب پذیری سرریز بافر heap (یا Heap Buffer Overflow) با شدت بالا را در مرورگر Chrome بهصورت فوری پچ کرده است. این آسیب پذیریها با شناسههای CVE-2025-0999 و CVE-2025-1426 دنبال میشوند میتوانند به مهاجمان اجازه دهند کد دلخواه را اجرا کنند و کنترل سیستمهای آسیب پذیر را به دست آورند.
این آسیب پذیریها که در نسخههای Chrome 133.0.6943.126/.127 برای ویندوز و مک و Chrome 133.0.6943.126 در لینوکس پچ شدهاند، به ترتیب کامپوننتهای موتور جاوااسکریپت V8 و واحد پردازش گرافیکی (GPU) را هدف قرار میدهند.
آسیب پذیریها به شرح زیر میباشند:
- CVE-2025-0999 – یک آسیب پذیری با شدت بالا در موتور جاوااسکریپت V8 مرورگر Chrome است که میتواند به اجرای کد دلخواه و کنترل سیستمهای آسیب پذیر منجر شود. این آسیب پذیری ناشی از مدیریت نادرست حافظه هنگام پردازش کامپوننتهای جاوااسکریپت میباشد که امکان تخریب heap از طریق صفحات HTML مخرب را فراهم میکند. در واقع، این آسیب پذیری به مهاجمان اجازه میدهد که بافر heap را سرریز کنند.
- CVE-2025-1426 – یک آسیب پذیری با شدت بالا در مرورگر Chrome است که مربوط به واحد پردازش گرافیکی (GPU) مرورگر میباشد و میتواند منجر به سرریز بافر در فرآیند رندرینگ گرافیکی گردد. این آسیب پذیری به مهاجمان اجازه میدهد تا محدوده بافر را سرریز کرده و در نتیجه به اجرای کد دلخواه در سیستمهای آسیب پذیر دست یابند.
هر دو آسیب پذیری، قابلیت اجرای کد از راه دور (RCE) را فراهم میکنند و ممکن است منجر به نفوذ کامل به سیستم، سرقت دادهها یا حرکت جانبی در شبکهها شوند.
آسیب پذیری سرریز بافر heap به مهاجمان امکان میدهد تا مناطق حافظه اختصاص داده شده به صورت پویا را بازنویسی کرده و کد دلخواه اجرا کنند. این آسیب پذیری زمانی رخ میدهد که برنامهها، دادهها را فراتر از محدوده بلوکهای حافظهای که روی heap اختصاص داده شده است، بنویسند. Heap یک بخش از حافظه میباشد که بهطور پویا برای ذخیره دادههای زمان اجرا مدیریت میشود.
یکی دیگر از آسیب پذیریهای پچ شده در این به روزرسانی، CVE-2025-1006 میباشد که یک آسیب پذیری Use-After-Free (UAF) با شدت متوسط در کامپوننت شبکه Google Chrome است. مهاجمان میتوانند با ایجاد محتوای وب مخرب از این آسیب پذیری سوءاستفاده کرده و با اجرای کد دلخواه، دادههای حساس کاربران را بربایند.
گوگل انتشار جزئیات فنی کامل را تا زمان به روزرسانی اکثر کاربران به تعویق انداخته است، که این یک اقدام استاندارد برای جلوگیری از سوءاستفاده مهاجمان از اکسپلویتها محسوب میشود.
در حالی که تا کنون هیچ سوءاستفاده فعالی از این آسیب پذیریها تأیید نشده است، اما توصیه میشود که کاربران هر چه سریعتر به روزرسانیهای امنیتی را دریافت و نصب کنند. به منظور انجام این کار به
Chrome > Help > About Google Chrome بروید و پس از دریافت به روزرسانی، مرورگر را مجددا راهاندازی کنید تا پچها اعمال شوند.
مدیران شبکه در سازمانها میبایست، به روزرسانی مرورگر Chrome را در اولویت قرار دهند چرا که تأخیر در نصب پچها میتواند سیستمها را در برابر حملات Drive-By Download یا کمپینهای فیشینگ حاوی کدهای مخرب آسیب پذیر کند.
با توجه به اینکه مهاجمان بهطور فزایندهای چندین آسیب پذیری را برای نفوذ گسترده به سیستمها ترکیب میکنند، کاربران و سازمانها نباید دچار سهلانگاری شوند.
از آنجا که به روزرسانیهای Chrome بطور پیشفرض به صورت خودکار انجام میشود، اکنون هوشیاری کاربران و سازمانها باید بر اطمینان از عملکرد صحیح مکانیزمهای بهروزرسانی در تمامی دستگاهها متمرکز باشد.
