خانه » CVE-2025-10101
هشدار‌های سایبری

CVE-2025-10101

Crafted Mach-O file may allow Remote Code Execution in Avast Antivirus on MacOS

توسط Vulnerbyte Alerts
نوشته شده توسط Vulnerbyte Alerts 186 بازدید
هشدار سایبری CVE-2025-10101
  • شناسه CVE-2025-10101 :CVE
  • CWE-122, CWE-787 :CWE
  • yes :Advisory
  • منتشر شده: دسامبر 1, 2025
  • به روز شده: دسامبر 1, 2025
  • امتیاز: 8.1
  • نوع حمله: Heap-based buffer overflow
  • اثر گذاری: Remote code execution(RCE)
  • حوزه: نرم افزارهای شبکه و امنیت
  • برند: Avast
  • محصول: Antivirus
  • وضعیتPublished :CVE
  • No :POC
  • وضعیت آسیب پذیری: patch شده

چکیده

آسیب‌پذیری سرریز بافر مبتنی بر هیپ (Heap-based Buffer Overflow) و نوشتن خارج از محدوده (Out-of-bounds Write) در Avast Antivirus برای macOS شناسایی شده است. این ضعف هنگام اسکن یا پردازش یک فایل اجرایی Mach‑O دستکاری‌شده فعال می‌شود و به مهاجم لوکال اجازه می‌دهد کد دلخواه را با سطح دسترسی فرآیند آنتی‌ویروس اجرا کرده، حفاظت بلادرنگ را دور بزند یا موجب انکار سرویس پایدار (DoS) شود.

توضیحات

آسیب‌پذیری CVE-2025-10101 ترکیبی از دو ضعف سرریز بافر مبتنی بر هیپ (Heap-based Buffer Overflow) مطابق با CWE-122 و نوشتن خارج از محدوده (Out-of-bounds Write) مطابق با CWE-787 در Avast Antivirus برای macOS است. این ضعف هنگام پردازش فایل‌های اجرایی Mach‑O ‌(فرمت باینری استاندارد macOS)که به‌صورت مخرب یا غیرمعتبر دستکاری شده‌اند، رخ می‌دهد.

در این سناریو، مهاجم لوکال بدون نیاز به دسترسی مدیریتی می‌تواند یک فایل Mach‑O مخرب را از طریق دانلود، ایمیل، حافظه USB یا هر مسیر فایل‌سیستمی دیگر روی سیستم قرار دهد. هنگامی که موتور اسکن Avast این فایل را در جریان اسکن بلادرنگ (Real‑time) یا اسکن دوره‌ای پردازش می‌کند، مقداردهی‌های نامعتبر داخل ساختار Mach‑O باعث سرریز بافر در ناحیه هیپ می‌شود. این سرریز می‌تواند منجر به نوشتن داده در محدوده‌ای خارج از بافر تخصیص‌یافته شود و شرایط لازم برای اجرای کد دلخواه (RCE) با سطح دسترسی پردازش آنتی‌ویروس، یا از کار انداختن حفاظت بلادرنگ و ایجاد انکار سرویس (DoS) را فراهم کند. پیامدهای این آسیب پذیری شامل تأثیر بالا بر محرمانگی با امکان افشای داده‌های سیستم، یکپارچگی با قابلیت دستکاری یا تغییر داده‌ها و در دسترس‌پذیری با توقف کامل موتور آنتی‌ویروس (DoS) است.

بهره‌برداری از این ضعف نیازی به تعامل کاربر ندارد؛ کافی است فایل مخرب در مسیری قرار گیرد که توسط Avast اسکن شود. اگرچه این حمله به سادگی قابل خودکارسازی است، اما همچنان به دسترسی لوکال نیاز دارد. این آسیب‌پذیری در نسخه‌های 15.7 تا پیش از 3.9.2025 وجود دارد و با انتشار نسخه 3.9.2025 به‌طور کامل پچ شده است.

CVSS

Score Severity Version Vector String
8.1 HIGH 3.1 CVSS:3.1/AV:L/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H

لیست محصولات آسیب پذیر

Versions Platforms Product
affected from 15.7 before 3.9.2025 MacOS Antivirus

لیست محصولات بروز شده

Versions Platforms Product
3.9.2025 MacOS Antivirus

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Avast Antivirus را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

Approx. Usage in .ir Domain via Google

(Total Pages)

 Search Query (Dork) Product
22,100 site:.ir “Avast Antivirus” Avast Antivirus

نتیجه گیری

این آسیب‌پذیری با شدت بالا در Avast Antivirus برای macOS می‌تواند به مهاجم لوکال اجازه دهد کد دلخواه را با دسترسی بالا اجرا کرده و حفاظت امنیتی را کاملاً غیرفعال کند. با توجه به انتشار پچ رسمی، اجرای اقدامات زیر برای جلوگیری از بهره برداری و کاهش ریسک توصیه می‌شود:

  • به‌روزرسانی فوری: تمام کاربران macOS که از Avast Antivirus استفاده می‌کنند باید بلافاصله برنامه را به نسخه 9.2025یا بالاتر به‌روزرسانی کنند. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
  • فعال‌سازی به‌روزرسانی خودکار: اطمینان حاصل کنید که گزینه به‌روزرسانی خودکار در تنظیمات Avast فعال است تا به محض انتشار نسخه جدید، سیستم شما به‌روزرسانی شود.
  • محدودسازی اجرای فایل‌های ناشناخته: از اجرا یا ذخیره فایل‌های Mach-O از منابع نامعتبر (ایمیل، وب‌سایت‌های ناشناخته، درایوهای خارجی) خودداری کنید.
  • استفاده از Gatekeeper و XProtect: سیستم‌عامل macOS را به آخرین نسخه به‌روزرسانی کنید تا از مکانیزم‌های داخلی Gatekeeper و XProtect بهره‌مند شوید.
  • مانیتورینگ عملکرد آنتی‌ویروس: در صورت مشاهده کرش یا توقف ناگهانی سرویس Avast، فوراً سیستم را ریستارت کرده و آن را به‌روزرسانی کنید.

اجرای این اقدامات، به ویژه به‌روزرسانی فوری، ریسک ناشی از این آسیب‌پذیری را به حداقل می‌رساند و امنیت سیستم‌های macOS را در برابر این تهدید جدی تضمین می‌کند.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

در این سناریو مهاجم از مسیر فایل‌رسانی محلی وارد می‌شود؛ فایل Mach-O مخرب می‌تواند از طریق دانلود، ایمیل، USB یا هر کانال فایل‌سیستمی در سیستم قرار گیرد و چون Avast در اسکن بلادرنگ فایل را پردازش می‌کند، همین حضور فایل در دیسک نقش نقطه ورود را بازی می‌کند. هیچ تعامل کاربری خاص لازم نیست و همین کافی است موتور آنتی‌ویروس فایل را Parse کند و حمله آغاز شود.

Execution (TA0002)

اجرای کد از طریق بهره‌برداری از Heap-based Buffer Overflow و Out-of-Bounds Write انجام می‌شود؛ سرریز در هنگام Parse فایل Mach-O باعث می‌شود کنترل جریان برنامه به کد مهاجم منتقل شود و مهاجم RCE با سطح دسترسی پردازش Avast بگیرد. این اجرا بدون نیاز به اجرای مستقیم فایل توسط کاربر است و از داخل پروسه اسکن Avast رخ می‌دهد.

Privilege Escalation (TA0004)

وقتی آسیب‌پذیری Exploit شود، کد مهاجم در کانتکست پردازش آنتی‌ویروس اجرا می‌شود که معمولاً سطح دسترسی بالاتری نسبت به کاربر عادی دارد. این سناریو امکان افزایش سطح دسترسی غیرمستقیم را از طریق سوءاستفاده از سرویس امنیتی فراهم می‌کند و احتمال دستکاری سرویس‌های داخلی یا Deprotect کردن فایل‌ها را ایجاد می‌کند.

Defense Evasion (TA0005)

مهاجم می‌تواند با اجرای کد در فرآیند آنتی‌ویروس، قابلیت‌های امنیتی مثل Real-time Protection را غیرفعال کند یا Signature ها را دور بزند. همچنین امکان دستکاری حافظه داخلی اسکنر و ایجاد Crash کنترل‌شده برای خاموش کردن اسکن بلادرنگ وجود دارد.

Credential Access (TA0006)

اگر RCE کامل حاصل شود، مهاجم می‌تواند از حافظه سرویس امنیتی برای استخراج توکن‌های احراز هویت، مسیرهای داخلی و Secrets مرتبط با فایل‌های اسکن‌شده استفاده کند؛ اما این تاکتیک تنها در صورتی فعال می‌شود که مهاجم ادامه حمله را توسعه دهد.

Discovery (TA0007)

کدی که در کانتکست Avast اجرا می‌شود می‌تواند برای جمع‌آوری اطلاعات از محیط محلی، مسیرهای فایل‌سیستمی، سطح دسترسی، نسخه‌ها و سرویس‌های فعال استفاده شود تا مهاجم حملات بعدی را ساختار دهد.

Exfiltration (TA0010)

پس از RCE، مهاجم می‌تواند داده‌های جمع‌آوری‌شده را از طریق کانال‌های استاندارد HTTP، HTTPS، DNS و استخراج کند. این بخش مستقیم از Exploit ناشی نمی‌شود، اما RCE آن را کاملاً ممکن می‌کند.

Impact (TA0040)

این بخش در این حمله بسیار برجسته است؛ مهاجم می‌تواند حفاظت اصلی سیستم را خاموش کند، موجب Crash پایدار شود (DoS) یا موتور امنیتی را کاملاً از کار بیندازد. همچنین اجرای کد به او اجازه می‌دهد Integrity سیستم را هدف بگیرد و قابلیت‌های امنیتی را غیرفعال کند.

منابع

  1. https://www.cve.org/CVERecord?id=CVE-2025-10101
  2. https://www.cvedetails.com/cve/CVE-2025-10101/
  3. https://www.gendigital.com/us/en/contact-us/security-advisories/
  4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-10101
  5. https://vuldb.com/?id.333888
  6. https://nvd.nist.gov/vuln/detail/CVE-2025-10101
  7. https://cwe.mitre.org/data/definitions/122.html
  8. https://cwe.mitre.org/data/definitions/787.html

همچنین ممکن است دوست داشته باشید

CVE-2026-7270

CVE-2026-3888

CVE-2026-0047

CVE-2026-6770

CVE-2026-7482

CVE-2026-7482

CVE-2026-9082

CVE-2026-40369

CVE-2026-0073

CVE-2026-42945

پیام بگذارید

نام ، ایمیل و وب سایت خود را برای بار دیگر که اظهار نظر می کنم در این مرورگر ذخیره کنید.