CVE-2025-1006

چکیده

یک آسیب‌پذیری در Google Chrome شناسایی شده است. این آسیب‌پذیری بر یک تابع ناشناخته از کامپوننت Web Handler تأثیر می‌گذارد. ایجاد تغییرات در ورودی منجر به استفاده از حافظه پس از آزادسازی آن (use after free) می‌شود. این آسیب‌پذیری با کد CVE-2025-1006 شناخته شده است. حمله از راه دور قابل انجام است. توصیه می‌شود که کامپوننت آسیب‌دیده به‌روزرسانی شود.

توضیحات

طبق استاندارد CWE، این مشکل با کد CWE-416 شناخته شده است. استفاده از حافظه پس از آزادسازی آن می‌تواند باعث خرابی برنامه، استفاده از مقادیر غیرمنتظره یا اجرای کد مخرب شود. این آسیب‌پذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) تأثیر می‌گذارد.

این آسیب‌پذیری در بخش شبکه (Network) مرورگر Google Chrome در نسخه‌های قبل از 133.0.6943.126 وجود دارد و به مهاجمان اجازه می‌دهد از طریق یک اپلیکیشن وب خاص، حافظه heap را دچار خرابی کنند.

اکسپلویت این آسیب پذیری آسان است و حمله می‌تواند از راه دور انجام شود.

به‌روزرسانی Google Chrome به نسخه 133.0.6943.126 این آسیب‌پذیری را برطرف می‌کند.

ابزار Nessus یک پلاگین با شناسه 216427 ارائه داده است که می‌تواند وجود این مشکل را در سیستم‌های هدف شناسایی کند.

CVSS

 لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

به‌روزرسانی Google Chrome به نسخه 133.0.6943.126 این آسیب‌پذیری را برطرف می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-1006
2. https://www.cvedetails.com/cve/CVE-2025-1006/
3. https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_18.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1006
5. https://vuldb.com/?id.296303
6. https://nvd.nist.gov/vuln/detail/CVE-2025-1006
7. https://cwe.mitre.org/data/definitions/416.html