گوگل اعلام کرد که روز 2 ژوئن پچهای اضطراری برای رفع سه مشکل امنیتی در مرورگر Chrome منتشر کرده است. یکی از این مشکلات، با شناسه CVE-2025-5419، یک آسیبپذیری روز صفر با شدت بالا است که بهصورت فعال در اینترنت مورد سوءاستفاده قرار گرفته است.
جزئیات آسیبپذیری CVE-2025-5419
این نقص با امتیاز 8.8، در موتور JavaScript و WebAssembly به نام V8 رخ داده و بهعنوان یک آسیبپذیری خواندن و نوشتن خارج از محدوده توصیف شده است. NIST در پایگاه داده ملی آسیبپذیریها گزارش داد که این مشکل در نسخههای Chrome پیش از 137.0.7151.68 به مهاجم راهدور اجازه میدهد از طریق صفحه HTML ساختگی، نقصی در heap ایجاد کند.
گوگل از Clement Lecigne و Benoît Sevens از تیم تحلیل تهدید گوگل (TAG) برای کشف و گزارش این نقص در ۲۷ می ۲۰۲۵ تشکر کرد. این مشکل یک روز بعد با تغییر پیکربندی در نسخه پایدار مرورگر برای تمام پلتفرمها برطرف شد. گوگل تأیید کرد که اکسپلویت این آسیبپذیری در فضای واقعی وجود دارد؛ اما جزئیات حملات یا هویت مهاجمان برای محافظت از کاربران تا زمان بهروزرسانی گسترده منتشر نشده است.
این دومین آسیبپذیری روز صفر در سال ۲۰۲۵ است که گوگل پچ کرده، پس از CVE-2025-2783 (امتیاز CVSS: 8.3) که توسط Kaspersky شناسایی و در حملاتی علیه سازمانهای روسی استفاده شده بود.
توصیه امنیتی
گوگل به کاربران توصیه کرد Chrome را به نسخه 137.0.7151.68/.69 برای Windows و macOS و نسخه 137.0.7151.68 برای Linux بهروزرسانی کنند. همچنین کاربران مرورگرهای مبتنی بر Chromium مانند Microsoft Edge، Brave، Opera و Vivaldi باید پچها را بهمحض در دسترس شدن اعمال کنند.
