- شناسه CVE-2025-0437 :CVE
- CWE-125 :CWE
- yes :Advisory
- منتشر شده: ژانویه 15, 2025
- به روز شده: ژانویه 15, 2025
- امتیاز: 6.5
- نوع حمله: Unknown
- اثر گذاری: Memory Corruption
- حوزه: مرورگرها
- برند: Google
- محصول: Chrome
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
یک آسیبپذیری در Google Chrome شناسایی شده است که بخش نامعلومی از کامپوننت Metrics را تحت تأثیر قرار میدهد. این آسیبپذیری منجر به خطای خارج از محدوده (Out-of-Bounds) میشود و با کد CVE-2025-0437 شناخته شده است. این حمله از راه دور قابل انجام است. توصیه میشود کامپوننت آسیبدیده را بهروزرسانی کنید.
توضیحات
خواندن خارج از محدوده در کامپوننت Metrics در Google Chrome قبل از نسخه 132.0.6834.83 به یک مهاجم از راه دور اجازه میدهد تا با استفاده از یک صفحه HTML دستکاریشده، احتمالاً منجر به خرابی Heap شود.
طبق تعریف CWE-125، این آسیبپذیری زمانی رخ میدهد که برنامه دادههایی را فراتر از انتهای بافر (Buffer) یا قبل از ابتدای آن بخواند. این مشکل میتواند محرمانگی، یکپارچگی و دسترسپذیری سیستم را تحت تأثیر قرار دهد.
اکسپلویت آن آسان است، حمله از راه دور انجام میشود و نیازی به احراز هویت ندارد، اما نیازمند تعامل کاربر است.
ابزار اسکن آسیبپذیری Nessus یک پلاگین با شناسه 214138 ارائه داده است (Google Chrome < 132.0.6834.83 Multiple Vulnerabilities) که به شناسایی این آسیبپذیری در محیط هدف کمک میکند.
CVSS
| Score | Severity | Version | Vector String |
| 6.5 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 132.0.6834.83 before 132.0.6834.83 | Chrome |
لیست محصولات بروز شده
| Versions | Product |
| 132.0.6834.83 | Chrome |
نتیجه گیری
بهروزرسانی به نسخه 132.0.6834.83 این آسیبپذیری را برطرف میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0437
- https://www.cvedetails.com/cve/CVE-2025-0437/
- https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0437
- https://vuldb.com/?id.291914
- https://nvd.nist.gov/vuln/detail/CVE-2025-0437
- https://cwe.mitre.org/data/definitions/125.html
