CVE-2025-0442

چکیده

یک نقص در پرداخت‌ها در مرورگر گوگل کروم نسخه‌های قبل از 132.0.6834.83 وجود دارد که به یک مهاجم راه دور(remote attacker) این امکان را می‌دهد که در صورت متقاعد کردن کاربر به انجام برخی حرکات خاص در رابط کاربری (UI)، می پردازد که از طریق آن اقدام به جعل رابط کاربری (UI Spoofing) کند. این حمله از طریق یک صفحه HTML که در آن تغییرات ایجاد شده انجام می‌شود.

توضیحات

یک آسیب‌پذیری در گوگل کروم شناسایی شده که این مشکل در بخش پرداخت‌ها (Payments) وجود دارد و منجر به clickjacking (یک تکنیک حمله‌ی مخرب است که در آن مهاجم از طریق طراحی و ساخت صفحات وب یا رابط‌های کاربری فریب‌دهنده، تلاش می‌کند کاربر را به انجام اقداماتی وادار کند که به نفع مهاجم است، بدون آنکه کاربر از آن مطلع باشد) می‌شود. حمله ممکن است از راه دور انجام شود. توصیه می‌شود که نسخه‌ی آسیب‌دیده به‌روزرسانی شود. تعریف CWE برای این آسیب‌پذیری CWE-290 است. رابط کاربری (UI) به درستی اطلاعات حیاتی را به کاربر نشان نمی‌دهد، به طوری که اطلاعات یا منبع آن می‌تواند مبهم یا جعل شود. این نوع حملات معمولاً بخشی از حملات فیشینگ هستند. این آسیب‌پذیری بر یکپارچگی (Integrity) تاثیر می گذارد. اکسپلویت آن آسان به نظر می‌رسد. حمله می‌تواند از راه دور انجام شود و نیازی به احراز هویت ندارد. فقط نیاز است که قربانی با رابط کاربری تعامل کند.

اسکنر آسیب‌پذیری Nessus یک پلاگین با شناسه 214233 (Debian dsa-5844 : chromium – security update) ارائه می‌دهد که به شناسایی این آسیب‌پذیری در محیط هدف کمک می‌کند.

CVSS

لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

با ارتقا گوگل کروم به نسخه 132.0.6834.83 این آسیب‌پذیری برطرف می‌شود. برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-0442
2. https://www.cvedetails.com/cve/CVE-2025-0442/
3. https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0442
5. https://vuldb.com/?id.291919
6. https://nvd.nist.gov/vuln/detail/CVE-2025-0442
7. https://cwe.mitre.org/data/definitions/290.html