- شناسه CVE-2025-8901 :CVE
- CWE-787 :CWE
- yes :Advisory
- منتشر شده: آگوست 13, 2025
- به روز شده: آگوست 13, 2025
- امتیاز: 8.8
- نوع حمله: Out-of-bounds write
- اثر گذاری: Unknown
- حوزه: مرورگرها
- برند: Google
- محصول: Chrome
- وضعیتPublished :CVE
- No :POC
- وضعیت آسیب پذیری: patch شده
چکیده
آسیبپذیری نوشتن خارج از محدوده (Out-of-Bounds Write) در کامپوننت ANGLE گوگل کروم نسخههای قبل از 139.0.7258.127 شناسایی شده است. این آسیب پذیری به مهاجم از راه دور اجازه میدهد از طریق یک صفحه HTML دستکاریشده، به حافظه خارج از محدوده دسترسی پیدا کند که میتواند منجر به اجرای کد دلخواه شود.
توضیحات
آسیبپذیری CVE-2025-8901 از نوع نوشتن خارج از محدوده مطابق با CWE-787 است و به شرایطی اشاره دارد که دادهها در خارج از محدوده بافر تخصیصیافته نوشته شده و باعث اختلال در حافظه می شوند. این آسیب پذیری در کامپوننت ANGLE (Almost Native Graphics Layer Engine)، که وظیفه ترجمه فراخوانیهای OpenGL در مرورگرکروم را بر عهده دارد، رخ میدهد. مهاجم میتواند با استفاده از یک صفحه HTML مخرب، دسترسی غیرمجاز به حافظه ایجاد کرده و بهطور بالقوه کد دلخواه را اجرا کند. این نقص امنیتی در مسیر پردازش WebGL و رندرینگ گرافیکی مرورگر ایجاد میشود و میتواند با سایر آسیبپذیریها زنجیره شود تا منجر به فرار از سندباکس (Sandbox Escape) یا اجرای کد از راه دور (RCE) شود. بهرهبرداری موفق از این باگ ممکن است کنترل کامل پردازه مرورگر را در اختیار مهاجم قرار دهد.
این حمله از راه دور قابل اجرا است و نیاز به تعامل کاربر برای باز کردن صفحه HTML مخرب دارد. پیامدهای آن شامل دسترسی غیرمجاز به دادههای حساس موجود در حافظه، تغییر غیرمجاز دادهها یا عملکرد مرورگر از طریق اجرای کد مخرب و کرش کردن مرورگر یا اختلال در عملکرد سیستم می باشد.
برای کاربر نهایی، این آسیبپذیری میتواند منجر به سرقت دادههای حساس، اجرای کد مخرب یا اختلال در عملکرد مرورگر شود. گوگل این آسیبپذیری را در نسخههای 139.0.7258.127 برای لینوکس و 139.0.7258.127/.128 برای ویندوز و مک پچ کرده است.
CVSS
| Score | Severity | Version | Vector String |
| 8.8 | HIGH | 3.1 | CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H |
لیست محصولات آسیب پذیر
| Versions | Platforms | Product |
| affected from 139.0.7258.127 before 139.0.7258.127 | Windows, Mac, Linux | Chrome |
لیست محصولات بروز شده
| Versions | Platforms | Product |
| 139.0.7258.127/.128 | Windows, Mac | Chrome |
| 7139.0.7258.12 | Linux | Chrome |
نتیجه گیری
به تمامی کاربران و مدیران سیستم توصیه میشود مرورگر Google Chrome را در اسرع وقت به نسخه 139.0.7258.127 در سیستمعامل لینوکس و نسخههای 139.0.7258.127/.128 در ویندوز و مک بهروزرسانی کنند تا از سوءاستفاده از آسیبپذیری CVE-2025-8901 جلوگیری شود. پس از اعمال بهروزرسانی، مرورگر باید بهطور کامل بسته و مجدداً راهاندازی شود تا وصله امنیتی به درستی اعمال گردد.
کاربران باید از باز کردن یا تعامل با صفحات HTML و محتوای وب از منابع ناشناس یا غیرقابل اعتماد خودداری کنند، زیرا این آسیبپذیری میتواند از طریق محتوای مخرب فعال شود. بهعنوان اقدامات تکمیلی و افزایش تدابیر دفاعی، پایش مستمر لاگهای سیستم و مرورگر برای شناسایی فعالیتهای مشکوک، استفاده از ابزارهای امنیتی بهروز مانند آنتیویروسها، افزونههای امنیتی مرورگر و سامانههای تشخیص و جلوگیری از نفوذ (IDS/IPS) توصیه میشود. همچنین، محدود کردن مجوزهای اجرای محتوای جاوااسکریپت از منابع ناشناس و استفاده از سیاستهای امنیتی مرورگر (CSP) میتواند ریسک سوءاستفاده را کاهش دهد.
منابع
- https://www.cve.org/CVERecord?id=CVE-2025-8901
- https://www.cvedetails.com/cve/CVE-2025-8901/
- https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_12.html
- https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-8901
- https://vuldb.com/?id.319849
- https://nvd.nist.gov/vuln/detail/CVE-2025-8901
- https://issues.chromium.org/issues/435139154
- http://cwe.mitre.org/data/definitions/787.html
