- شناسه CVE-2025-0444 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: فوریه 4, 2025
- به روز شده: فوریه 4, 2025
- امتیاز: 6.3
- نوع حمله: Unknown
- اثر گذاری: Memory Corruption
- حوزه: مرورگرها
- برند: Google
- محصول: Chrome
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری Use-After-Free در کتابخانه Skia در نسخههای قبل از 133.0.6943.53 مرورگر گوگل کروم به یک مهاجم راه دور امکان میدهد تا با استفاده از یک صفحه HTML دستکاریشده، از تخریب Heap سوءاستفاده کرده و آن را اکسپلویت نماید.
توضیحات
این نقص با شناسه CWE-416 دستهبندی شده است. استفاده از حافظه پس از آزاد شدن آن میتواند باعث کرش کردن برنامه، استفاده از مقادیر غیرمنتظره یا اجرای کد مخرب شود. این آسیبپذیری بر محرمانگی، یکپارچگی و دسترسپذیری سیستم تأثیر میگذارد.
این حمله بهسادگی از راه دور انجام میشود و نیازی به احراز هویت ندارد. اما قربانی باید به نوعی در فرآیند حمله مشارکت داشته باشد (مثلاً باز کردن یک صفحه مخرب).
اسکنر امنیتی Nessus یک پلاگین با شناسه 214952 منتشر کرده است که میتواند این آسیبپذیری را در سیستمهای هدف شناسایی کند.
CVSS
| Score | Severity | Version | Vector String |
| 6.3 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 133.0.6943.53 before 133.0.6943.53 | Chrome |
لیست محصولات بروز شده
| Versions | Product |
| before 133.0.6943.53 | Chrome |
نتیجه گیری
بهروزرسانی به نسخه 133.0.6943.53 گوگل کروم این آسیبپذیری را برطرف میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0444
- https://www.cvedetails.com/cve/CVE-2025-0444/
- https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0444
- https://vuldb.com/?id.294666
- https://nvd.nist.gov/vuln/detail/CVE-2025-0444
- https://cwe.mitre.org/data/definitions/416.html
