CVE-2025-6556

چکیده

یک آسیب‌پذیری در کامپوننت Loader مرورگر Google Chrome  شناسایی شده است. این آسیب پذیری به مهاجم راه دور امکان دور زدن سیاست‌های امنیتی محتوا (CSP) را از طریق صفحه HTML دستکاری‌شده می‌دهد.

توضیحات

این آسیب‌پذیری در کامپوننت  Loader مرورگر Google Chrome (نسخه‌های قبل از 138.0.7204.49) به دلیل اعمال ناکافی سیاست‌های امنیتی (CWE-288) رخ می‌دهد. مهاجم راه دور می‌تواند با استفاده از یک صفحه HTML دستکاری‌شده، سیاست‌های امنیتی محتوا (CSP) را دور بزند. CSP مکانیزمی است که مرورگرها برای جلوگیری از اجرای اسکریپت‌های مخرب یا بارگذاری منابع غیرمجاز استفاده می‌کنند. این آسیب پذیری نیازی به احراز هویت نداشته، اما به تعامل کاربر (مانند کلیک یا بارگذاری صفحه) وابسته بوده و شدت آن به دلیل محدودیت‌های بهره‌برداری، پایین ارزیابی شده است. همچنین سه اصل امنیت شامل محرمانگی (confidentiality) ، یکپارچگی (integrity) و در دسترس پذیری (availability) را تهدید می کند. این آسیب پذیری در تمام پلتفرم‌ها (ویندوز، مک، لینوکس) وجود داشته و Google آن را در نسخه 138.0.7204.49 (لینوکس) و 138.0.7204.49/50 (ویندوز و مک) برطرف کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

نتیجه گیری

به کاربران توصیه می شود در اسرع وقت Google Chrome را به نسخه 138.0.7204.49 یا بالاتر به‌روزرسانی کرده و از بارگذاری صفحات وب مشکوک خودداری نمایند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-6556
2. https://www.cvedetails.com/cve/CVE-2025-6556/
3. https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_24.html
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-6556
5. https://vuldb.com/?id.313780
6. https://nvd.nist.gov/vuln/detail/CVE-2025-6556
7. http://cwe.mitre.org/data/definitions/288.html