گوگل روز دوشنبه با انتشار یک بهروزرسانی امنیتی برای مرورگر کروم، دو آسیبپذیری مهم را برطرف کرد؛ یکی از این آسیبپذیریها پیشتر در فضای واقعی مورد سوءاستفاده قرار گرفته بود.
این ضعف امنیتی با شناسه CVE-2025-13223 و امتیاز ۸.۸ در CVSS، مربوط به خطای Type Confusion در موتور جاوااسکریپت و WebAssembly کروم موسوم به V8 است که به مهاجم اجازه میدهد با ساختن یک صفحه HTML مخرب، منجر به اجرای کد دلخواه یا از کار انداختن برنامه شود.
این آسیبپذیری توسط کلِمان لوسین از تیم تحلیل تهدیدات گوگل (TAG) در تاریخ ۱۲ نوامبر ۲۰۲۵ کشف و گزارش شده است. گوگل با تایید اینکه سوءاستفاده از این نقص در حملات واقعی مشاهده شده، جزئیاتی درباره عاملان حملات یا اهداف آنها منتشر نکرده است.
از ابتدای سال تاکنون، این هفتمین آسیبپذیری روز صفر در کروم است که یا مورد سوءاستفاده فعال قرار گرفته یا نمونه اثبات مفهومی (PoC) برای آن منتشر شده است. پیش از این نیز دو نقص مشابه دیگر در موتور V8 با شناسههای CVE-2025-6554 و CVE-2025-10585 به ثبت رسیده بود.
در کنار این مورد، گوگل آسیبپذیری دیگری نیز با شناسه CVE-2025-13224 و همان امتیاز ۸.۸ را اصلاح کرده که آنهم نوعی تداخل نوع در V8 محسوب میشود. این مورد توسط سامانه هوش مصنوعی داخلی گوگل با نام Big Sleep شناسایی شده است.
کاربران برای محافظت در برابر تهدیدات احتمالی باید مرورگر خود را به نسخههای زیر بهروزرسانی کنند:
- ویندوز: نسخه 142.0.7444.175 یا .176
- مک: نسخه 142.0.7444.176
- لینوکس: نسخه 142.0.7444.175
برای اطمینان از نصب نسخه جدید، کافی است در کروم به مسیر «More > Help > About Google Chrome» رفته و گزینه «Relaunch» را انتخاب کنید.
همچنین به کاربران مرورگرهای مبتنی بر کرومیوم نیز توصیه شده است که در اسرع وقت بهروزرسانیهای مربوطه را دریافت و نصب کنند.
توضیحات بیشتر:
Google Issues Security Fix for Actively Exploited Chrome V8 Zero-Day Vulnerability