خانه » CVE-2025-0446
هشدار‌های سایبری

CVE-2025-0446

آسیب‌پذیری جعل رابط کاربری (UI Spoofing) در افزونه‌های(Extensions) گوگل کروم

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts
  • شناسه CVE-2025-0446 :CVE
  • CWE-290 :CWE
  • yes :Advisory
  • منتشر شده: ژانویه 15, 2025
  • به روز شده: ژانویه 15, 2025
  • امتیاز: 4.3
  • نوع حمله:  T1566.003
  • اثر گذاری: Spoofing
  • حوزه: مرورگرها
  • برند: Google
  • محصول: Chrome
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

پیاده‌سازی نادرست در افزونه‌ها (Extensions) در گوگل کروم نسخه‌های قبل از 132.0.6834.83 به یک مهاجم راه دور این امکان را می‌دهد که با متقاعد کردن کاربر برای انجام برخی حرکات خاص در رابط کاربری، جعل رابط کاربری (UI Spoofing) را از طریق یک افزونه دستکاری‌شده در کروم انجام دهد.

توضیحات

این آسیب‌پذیری به بخش ناشناخته‌ای از افزونه‌ها (Extensions) مربوط می‌شود و منجر به clickjacking می‌شود. حمله ممکن است از راه دور انجام شود. توصیه می‌شود که نسخه‌ی آسیب‌دیده به‌روزرسانی شود.

این آسیب‌پذیری به یک بلوک کد ناشناخته در بخش افزونه‌ها مربوط می‌شود. ایجاد تغییرات با ورودی ناشناخته منجر به آسیب‌پذیریclickjacking (یک تکنیک حمله‌ی مخرب است که در آن مهاجم از طریق طراحی و ساخت صفحات وب یا رابط‌های کاربری فریب‌دهنده، تلاش می‌کند کاربر را به انجام اقداماتی وادار کند که به نفع مهاجم است، بدون آنکه کاربر از آن مطلع باشد) می‌شود. این آسیب‌پذیری در دسته CWE-290 است. رابط کاربری (UI) به درستی اطلاعات حیاتی را به کاربر نشان نمی‌دهد، به طوری که اطلاعات یا منبع آن می‌تواند مبهم یا جعل شود. این نوع حملات معمولاً بخشی از حملات فیشینگ هستند. این آسیب‌پذیری بر یکپارچگی تأثیر می‌گذارد.

اکسپلویت آن به نظر می‌رسد آسان باشد. حمله می‌تواند از راه دور انجام شود و نیازی به احراز هویت ندارد. فقط نیاز است که قربانی با رابط کاربری تعامل کند. این آسیب‌پذیری توسط MITRE ATT&CK با شناسه T1566.003 طبقه‌بندی شده است. اسکنر آسیب‌پذیری Nessus یک پلاگین با شناسه 214233 (Debian dsa-5844 : chromium – security update) ارائه می‌دهد که به شناسایی این آسیب‌پذیری در محیط هدف کمک می‌کند.

CVSS

Score Severity Version Vector String
4.3 MEDIUM 3.1 CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N

 لیست محصولات آسیب پذیر

Versions Product Vendor
affected from 132.0.6834.83 before 132.0.6834.83 Chrome Google

 لیست محصولات بروز شده

Versions Product Vendor
132.0.6834.83 Chrome Google

 نتیجه گیری

با ارتقا گوگل کروم به نسخه 132.0.6834.83 این آسیب‌پذیری برطرف می‌شود. برای جلوگیری از نفوذ از موارد بروزرسانی شده استفاده کنید.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-0446
  2. https://www.cvedetails.com/cve/CVE-2025-0446/
  3. https://chromereleases.googleblog.com/2025/01/stable-channel-update-for-desktop_14.html
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0446
  5. https://vuldb.com/?id.291926
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-0446
  7. https://cwe.mitre.org/data/definitions/290.html

همچنین ممکن است دوست داشته باشید

CVE-2025-25893

CVE-2025-1920

CVE-2025-2135

CVE-2025-26916

CVE-2025-26643

CVE-2025-1121

CVE-2025-1923

CVE-2025-1919

CVE-2025-1918

CVE-2025-1915

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.