CVE-2025-47964

چکیده

یک آسیب‌پذیری جعل هویت  (Spoofing) در مرورگر Microsoft Edge (مبتنی بر Chromium) شناسایی شده است. این آسیب پذیری به مهاجم غیرمجاز از طریق شبکه اجازه می‌دهد با استفاده از ویژگی تقسیم زبانه ها(tab-splitting) ، وب‌سایت‌های مخرب را معتبر جلوه دهد.

توضیحات

در Microsoft Edge (مبتنی بر Chromium) نسخه 1.0.0.0 قبل از 138.0.3351.55، ویژگی تقسیم زبانه ها (tab-splitting) که امکان مرور همزمان دو زبانه را فراهم می‌کند، پیشوند دامنه را در نوار آدرس نمایش می‌دهد. این عملکرد به مهاجم غیرمجاز امکان می‌دهد با ارسال یک فایل مخرب و ترغیب کاربر به باز کردن آن (مثلاً از طریق لینک در ایمیل)، هویت یک وب‌سایت معتبر را جعل کند. این آسیب پذیری می‌تواند منجر به فیشینگ شود، زیرا وب‌سایت‌های مخرب می‌توانند شبیه دامنه‌های معتبر به نظر برسند و اطلاعات محدودی از مرورگر کاربر (مانند داده‌های مرتبط با URL) را در معرض ریسک قرار دهد. بهره‌برداری از این آسیب‌پذیری نیازمند تعامل کاربر (کلیک روی لینک و باز کردن فایل مخرب) است و نیازی به دسترسی مجاز ندارد. Microsoft پچ امنیتی را در نسخه 138.0.3351.55 منتشر کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به کاربران و مدیران سیستم‌ها توصیه می‌شود در اسرع وقت مرورگر Microsoft Edge را به نسخه 138.0.3351.55 یا بالاتر به‌روزرسانی کنند. همچنین لازم است از کلیک روی لینک‌های مشکوک یا باز کردن فایل‌های ناشناس خودداری کرده و به‌روزرسانی‌های امنیتی Microsoft را به‌طور مرتب بررسی کنند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-47964
2. https://www.cvedetails.com/cve/CVE-2025-47964/
3. https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-47964
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-47964
5. https://vuldb.com/?id.314035
6. https://nvd.nist.gov/vuln/detail/CVE-2025-47964