CVE-2025-1426

چکیده

یک آسیب‌پذیری در مرورگر Google Chrome در اندروید شناسایی شده است. این مشکل ناشی از پردازش ورودی نامشخصی است که منجر به سرریز حافظه در بخش heap می‌شود.

طبق استانداردهای CWE، این مشکل با کد CWE-122 مشخص شده است. سرریز heap نوعی حمله‌ی سرریز بافر است که در آن بافری که قابلیت بازنویسی دارد، در بخش heap از حافظه قرار گرفته است. این بافر معمولاً با استفاده از توابعی مانند malloc() تخصیص داده می‌شود. این آسیب‌پذیری بر محرمانگی (Confidentiality)، یکپارچگی (Integrity) و دسترس‌پذیری (Availability) سیستم تأثیر می‌گذارد.

توضیحات

این آسیب‌پذیری در بخش پردازش GPU در Google Chrome نسخه‌های قبل از 133.0.6943.126 در اندروید وجود دارد و به مهاجمان اجازه می‌دهد از طریق یک صفحه HTML خاص، حافظه heap را دچار خرابی کنند. شدت این مشکل طبق ارزیابی تیم امنیتی کرومیوم، بالا (High) اعلام شده است.

اکسپلویت این ضعف امنیتی آسان است و حمله می‌تواند از راه دور انجام شود.

به‌روزرسانی Google Chrome به نسخه 133.0.6943.126 این آسیب‌پذیری را برطرف می‌کند.

ابزار Nessus یک پلاگین با شناسه 216427 ارائه داده است که می‌تواند وجود این مشکل را در سیستم‌های هدف شناسایی کند.

CVSS

 لیست محصولات آسیب پذیر

 لیست محصولات بروز شده

 نتیجه گیری

به‌روزرسانی Google Chrome به نسخه 133.0.6943.126 این آسیب‌پذیری را برطرف می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-1426
2. https://www.cvedetails.com/cve/CVE-2025-1426/
3. https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_18.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-1426
5. https://vuldb.com/?id.296301
6. https://nvd.nist.gov/vuln/detail/CVE-2025-1426
7. https://cwe.mitre.org/data/definitions/122.html