CVE-2025-0997

چکیده

یک آسیب‌پذیری در Google Chrome در تاریخ ۲۳ ژانویه ۲۰۲۵ شناسایی شده است. این آسیب‌پذیری بخشی نامشخص از کامپوننت هدایت (Navigation) کننده را تحت تأثیر قرار می‌دهد و منجر به مشکل استفاده از حافظه پس از آزادسازی آن (Use-After-Free) می‌شود. این آسیب‌پذیری با شناسه CVE-2025-0997 ثبت شده و قابل اکسپلویت کردن از راه دور است. توصیه می‌شود کامپوننت آسیب‌دیده را به‌روزرسانی کنید.

توضیحات

یک مشکل استفاده از حافظه پس از آزادسازی آن در هدایت (Navigation) گوگل کروم در نسخه‌های قبل از 133.0.6943.98 به یک مهاجم از راه دور اجازه می‌دهد تا با استفاده از یک افزونه دستکاری‌شده، به‌طور بالقوه خرابی Heap را مورد سوءاستفاده قرار داده و آن را اکسپلویت نماید.

استفاده از CWE برای توصیف این مشکل منجر به CWE-416 می‌شود. ارجاع به حافظه‌ای که قبلاً آزاد شده است، می‌تواند باعث خرابی برنامه، استفاده از مقادیر غیرمنتظره یا اجرای کد مخرب شود. این آسیب‌پذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) تأثیر می‌گذارد.

اکسپلویت این آسیب پذیری آسان است و از راه دور قابل اجراست همچنین نیازی به احراز هویت ندارد، اما به تعامل کاربر نیاز دارد.

ابزار اسکن آسیب‌پذیری Nessus یک پلاگین با شناسه 216177 ارائه داده است (Google Chrome < 133.0.6943.98 Multiple Vulnerabilities) که به شناسایی این آسیب‌پذیری در محیط‌ هدف کمک می‌کند.

CVSS

لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

به‌روزرسانی به نسخه 133.0.6943.98 این آسیب‌پذیری را برطرف می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-0997
2. https://www.cvedetails.com/cve/CVE-2025-0997/
3. https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_12.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-0997
5. https://vuldb.com/?id.295700
6. https://nvd.nist.gov/vuln/detail/CVE-2025-0997
7. https://cwe.mitre.org/data/definitions/416.html