- شناسه CVE-2025-0445 :CVE
- CWE-416 :CWE
- yes :Advisory
- منتشر شده: فوریه 4, 2025
- به روز شده: فوریه 4, 2025
- امتیاز: 5.4
- نوع حمله: Unknown
- اثر گذاری: Memory Corruption
- حوزه: مرورگرها
- برند: Google
- محصول: Chrome
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری استفاده حافظه پس از آزادسازی آن (Use-After-Free) در گوگل کروم V8 نسخههای قبل از 133.0.6943.53 به مهاجم این امکان را میدهد که از راه دور با استفاده از یک صفحه HTML طراحیشده بهطور خاص، خرابی Heap (Heap Corruption) شده و آن را اکسپلویت کند.
توضیحات
این مشکل بر یک بلوک کد ناشناخته از کامپوننت V8 تأثیر میگذارد. ایجاد تغییرات با ورودی ناشناخته منجر به آسیبپذیری استفاده از حافظه پس از آزادسازی آن میشود. طبقه بندی CWE برای این مشکل، به CWE-416 اشاره میکند. ارجاع به حافظه پس از آزادسازی آن میتواند باعث کرش کردن برنامه، استفاده از مقادیر غیرمنتظره یا اجرای کد شود. تأثیر این آسیبپذیری بر محرمانگی، یکپارچگی و در دسترس بودن سیستم است.
به نظر میرسد که اکسپلویت آن ساده باشد. حمله میتواند از راه دور انجام شود و نیازی به احراز هویت برای اکسپلویت موفق ندارد و فقط نیاز است که قربانی با سیستم تعامل کند.
اسکنر آسیبپذیری Nessus پلاگینی با شناسه 214952 (Google Chrome < 133.0.6943.53 Multiple Vulnerabilities) ارائه میدهد که کمک میکند تا وجود این نقص در محیط هدف شناسایی شود.
CVSS
| Score | Severity | Version | Vector String |
| 5.4 | MEDIUM | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N |
لیست محصولات آسیب پذیر
| Versions | Product |
| affected from 133.0.6943.53 before 133.0.6943.53 | Chrome |
لیست محصولات بروز شده
| Versions | Product |
| 133.0.6943.53 | Chrome |
نتیجه گیری
بهروزرسانی به نسخه 133.0.6943.53 این آسیبپذیری را برطرف میکند.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-0445
- https://www.cvedetails.com/cve/CVE-2025-0445/
- https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0445
- https://vuldb.com/?id.294677
- https://nvd.nist.gov/vuln/detail/CVE-2025-0445
- https://cwe.mitre.org/data/definitions/416.html
