خانه » CVE-2025-0439
هشدار‌های امنیت سایبری

CVE-2025-0439

آسیب پذیری جعل رابط کاربری در کروم از طریق صفحه HTML

توسط Vulnerbyte_Alerts
نوشته شده توسط Vulnerbyte_Alerts
  • شناسه CVE-2025-0439 :CVE
  • CWE-290 :CWE
  • yes :Advisory
  • منتشر شده: ژانویه 15, 2025
  • به روز شده: ژانویه 15, 2025
  • امتیاز: 6.5
  • نوع حمله: Unknown
  • اثر گذاری: Spoofing Vulnerability
  • محصول: Chrome
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

شرایط رقابتی در بخش Frames مرورگر گوگل کروم پیش از نسخه 132.0.6834.83 به یک مهاجم اجازه می‌دهد که راه دور با متقاعد کردن کاربر به انجام حرکات خاص در رابط کاربری (UI)، از طریق یک صفحه HTML طراحی‌شده بپردازد و از این طریق اقدام به جعل رابط کاربری کند.

توضیحات

یک آسیب‌پذیری در نسخه‌های Google Chrome پیش از 132.0.6834.83 وجود دارد. یک مهاجم راه دور می‌تواند کاربر را فریب دهد تا اقدامات خاصی در رابط کاربری (UI) انجام دهد. این موضوع می‌تواند منجر به جعل رابط کاربری (UI Spoofing) از طریق یک صفحه HTML طراحی‌شده شود.

ایجاد تغییرات در این بخش منجر به ایجاد شرایط رقابتی (Race Condition) می‌شود. امکان اجرای حمله از راه دور وجود دارد. توصیه می‌شود که بخش آسیب‌دیده را به نسخه جدیدتر به‌روزرسانی کنید. با استفاده از استاندارد CWE برای توضیح این مشکل، به‌عنوان CWE-290 معرفی می شود. این آسیب‌پذیری ناشی از وجود یک توالی کد است که می‌تواند همزمان با سایر کدها اجرا شود، اما این توالی کد نیاز به دسترسی موقت و انحصاری به یک منبع مشترک دارد. در این میان، یک بازه زمانی وجود دارد که در آن منبع مشترک می‌تواند توسط یک توالی کد دیگر که همزمان در حال اجراست، تغییر داده شود. این آسیب‌پذیری بر یکپارچگی (Integrity) تأثیر می‌گذارد. اکسپلویت این آسیب‌پذیری دشوار ارزیابی شده است. حمله می‌تواند راه دور انجام شود و نیازی به احراز هویت برای موفقیت در باکسپلویت ندارد، اما تعامل کاربر و قربانی با رابط کاربری ضروری است.

اسکنر آسیب‌پذیری Nessus یک پلاگین با شناسه 214233 (به‌روزرسانی امنیتی Chromium در Debian dsa-5844) ارائه کرده است که می‌تواند وجود این آسیب‌پذیری را در محیط هدف شناسایی کند.

CVSS

Score Severity Version Vector String
6.5 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

 لیست محصولات آسیب پذیر

Versions Product Vendor
affected from 132.0.6834.83 before 132.0.6834.83 Chrome Google

 لیست محصولات بروز شده

Versions Product Vendor
132.0.6834.83 Chrome Google

 نتیجه گیری

با ارتقا گوگل کروم به نسخه 132.0.6834.83 این آسیب‌پذیری برطرف می‌شود. برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-0439
  2. https://www.cvedetails.com/cve/CVE-2025-0439/
  3. https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0439
  5. https://vuldb.com/?id.291917
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-0439
  7. https://cwe.mitre.org/data/definitions/290.html

همچنین ممکن است دوست داشته باشید

CVE-2025-23006

CVE-2025-20165

CVE-2024-56914

CVE-2025-20156

CVE-2025-20128

CVE-2025-24014

CVE-2025-21399

CVE-2025-21185

CVE-2024-45331

CVE-2024-57677

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.