CVE-2025-0996

چکیده

یک آسیب‌پذیری در Google Chrome در تاریخ ۲۳ ژانویه ۲۰۲۵ شناسایی شده است. این آسیب‌پذیری بخشی نامشخص از رابط کاربری مرورگر (Browser UI) را تحت تأثیر قرار می‌دهد و منجر به یک ضعف ناشناخته می‌شود. این آسیب‌پذیری با کد CVE-2025-0996 شناخته شده است و حمله می‌تواند از راه دور انجام شود. توصیه می‌شود کامپوننت آسیب‌دیده را به‌روزرسانی کنید.

توضیحات

یک پیاده‌سازی نامناسب در رابط کاربری مرورگر (Browser UI) در Google Chrome نسخه اندروید قبل از 133.0.6943.98 به یک مهاجم از راه دور اجازه می‌دهد که محتوای Omnibox (نوار آدرس) را از طریق یک صفحه HTML دستکاری‌شده جعل کند.

طبق تعریف CWE-1007، این آسیب‌پذیری زمانی رخ می‌دهد که مرورگر اطلاعات یا شناسه‌هایی را نمایش می‌دهد، اما مکانیسم نمایش باعث می‌شود که کاربران نتوانند بین کاراکترهای مشابه (homoglyphs) تمایز قائل شوند. این مسئله ممکن است کاربران را به انجام اقدام ناخواسته و ناامن سوق دهد. این آسیب‌پذیری بر یکپارچگی (Integrity) تأثیر می‌گذارد. اکسپلویت این آسیب پذیری آسان است، حمله از راه دور قابل انجام است و نیازی به احراز هویت ندارد، اما برای موفقیت در حمله نیاز به تعامل کاربر دارد.

ابزار اسکن آسیب‌پذیری Nessus یک پلاگین با شناسه 216177 ارائه داده است (Google Chrome < 133.0.6943.98 Multiple Vulnerabilities) که به شناسایی این آسیب‌پذیری در محیط‌ هدف کمک می‌کند.

CVSS

 لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

به‌روزرسانی به نسخه 133.0.6943.98 این آسیب‌پذیری را برطرف می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-0996
2. https://www.cvedetails.com/cve/CVE-2025-0996/
3. https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_12.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0996
5. https://vuldb.com/?id.295699
6. https://nvd.nist.gov/vuln/detail/CVE-2025-0996
7. https://cwe.mitre.org/data/definitions/1007.html