CVE-2025-0435

چکیده

اجرای نادرست در جابجایی بین صفحات وب (Navigation) مرورگر گوگل کروم در اندروید نسخه‌های قبل از 132.0.6834.83 به یک مهاجم راه دور امکان می‌دهد با استفاده از یک صفحه HTML ساخته‌شده، رابط کاربری را جعل کند.

توضیحات

این آسیب‌پذیری بخشی ناشناخته از Navigation را تحت تأثیر قرار می‌دهد. این نقص به مهاجم امکان می‌دهد تا با ایجاد تغییرات در ورودی به لایه رابط کاربری (UI Layer) دسترسی پیدا کند. این آسیب‌پذیری با شناسه CVE-2025-0435 مشخص شده است و حمله از راه دور امکان‌پذیر است. توصیه می‌شود که بخش آسیب‌دیده را به نسخه جدیدتر ارتقا دهید. طبق طبقه‌بندی CWE، این مشکل تحت CWE-290 قرار می‌گیرد. این آسیب‌پذیری به دلیل محدود نکردن یا محدود کردن نادرست اشیاء فریم (frame objects) یا لایه‌های رابط کاربری که به برنامه یا دامنه دیگری تعلق دارند، می‌تواند منجر به سردرگمی کاربر در مورد رابطی که با آن تعامل دارد، شود. این آسیب‌پذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) تأثیر می‌گذارد.
اکسپلویت این آسیب‌پذیری آسان بوده و حمله از راه دور قابل انجام است. هیچ نوع احراز هویتی برای اکسپلویت لازم نیست، اما تعامل قربانی با صفحه مخرب ضروری است.
اسکنر Nessus پلاگینی با شناسه 214138 (Google Chrome < 132.0.6834.83 Multiple Vulnerabilities) ارائه می‌دهد که به شناسایی این نقص در محیط هدف کمک می‌کند.

CVSS

 لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

با ارتقا گوگل کروم به نسخه 132.0.6834.83 این آسیب‌پذیری برطرف می‌شود. برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-0435
2. https://www.cvedetails.com/cve/CVE-2025-0435/
3. https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0435
5. https://vuldb.com/?id.291920
6. https://nvd.nist.gov/vuln/detail/CVE-2025-0435
7. https://cwe.mitre.org/data/definitions/290.html