گوگل بهروزرسانیهای امنیتی اضطراری برای مرورگر کروم منتشر کرده تا یک آسیبپذیری روز-صفر با شدت بالا را که در حملات سایبری مورد اکسپلویت قرار گرفته بود، برطرف کند. این نقص، چهارمین آسیبپذیری روز-صفر کروم است که از ابتدای سال ۲۰۲۵ پچ شده است.
جزئیات آسیبپذیری
گوگل اعلام کرده که این آسیبپذیری، با شناسه CVE-2025-6554، در حملات واقعی مورد اکسپلویت قرار گرفته است. این نقص در تاریخ ۲۶ ژوئن ۲۰۲۵ با تغییر پیکربندی در کانال پایدار کروم برای همه پلتفرمها برطرف شد. بهروزرسانی کامل برای کاربران کانال پایدار دسکتاپ در نسخههای 138.0.7204.96/.97 برای ویندوز، 138.0.7204.92/.93 برای مک و 138.0.7204.96 برای لینوکس، یک روز پس از گزارش نقص منتشر شد.
این آسیبپذیری توسط Clément Lecigne از گروه تحلیل تهدیدات گوگل (TAG)، که بر دفاع از مشتریان گوگل در برابر حملات حمایتشده دولتی و مشابه تمرکز دارد، کشف شد. گروه TAG اغلب آسیبپذیریهای روز-صفر مورد استفاده توسط هکرهای حمایتشده دولتی را در حملات هدفمند علیه افراد پرریسک مانند سیاستمداران مخالف و روزنامهنگاران برای نصب جاسوسافزار شناسایی میکند.
اگرچه اعمال بهروزرسانیهای امنیتی برای CVE-2025-6554 ممکن است روزها یا هفتهها طول بکشد تا به همه کاربران برسد، بررسیها نشان داده که این بهروزرسانیها در حال حاضر در دسترس هستند. کاربرانی که بهروزرسانی دستی را ترجیح نمیدهند، میتوانند به بررسی خودکار مرورگر برای بهروزرسانیهای جدید و نصب آنها پس از راهاندازی مجدد اعتماد کنند.
نقص برطرفشده یک نقص اختلال در نوع دادهها (Type Confusion) با شدت بالا در موتور جاوااسکریپت V8 کروم است. چنین نقصهایی معمولا پس از اکسپلویت موفق، با خواندن یا نوشتن حافظه خارج از محدوده، باعث خرابی مرورگر میشوند؛ اما مهاجمان میتوانند از آنها برای اجرای کد دلخواه در دستگاههای بدون پچ استفاده کنند.
گوگل جزئیات فنی یا اطلاعات اضافی درباره این حملات را منتشر نکرده و اعلام کرده که دسترسی به جزئیات نقص تا زمانی که اکثر کاربران بهروزرسانی را اعمال کنند، محدود خواهد ماند. این محدودیت همچنین در صورتی اعمال میشود که نقص در کتابخانههای شخص ثالث موجود باشد که پروژههای دیگر نیز به آنها وابستهاند و هنوز پچ نشدهاند.
پیش زمینه و آسیبپذیریهای قبلی
این چهارمین آسیبپذیری روز-صفر کروم است که در سال ۲۰۲۵ برطرف شده است. آسیبپذیریهای قبلی شامل موارد زیر بودند:
- CVE-2025-2783: نقص فرار از سندباکس با شدت بالا، گزارششده توسط بوریس لارین و ایگور کوزنتسوف از کسپرسکی، که در مارس ۲۰۲۵ در حملات جاسوسی علیه سازمانهای دولتی و رسانهای روسیه برای نصب بدافزار استفاده شد.
- CVE-2025-4664: نقصی که در ماه می ۲۰۲۵ پچ شد و به مهاجمان امکان ربودن حسابها را میداد.
- CVE-2025-5419: نقص خواندن و نوشتن خارج از محدوده در موتور V8، که در ژوئن ۲۰۲۵ پچ شد.
در سال ۲۰۲۴، گوگل در مجموع ۱۰ آسیبپذیری روز-صفر را که در حملات یا در مسابقات هک Pwn2Own نمایش داده شده بودند، پچ کرد.
