شرکت گوگل روز دوشنبه بهصورت خارج از زمانبندی معمول، اصلاحاتی امنیتی برای مرورگر کروم ارائه داد که شامل سه مشکل امنیتی بود. یکی از این آسیبپذیریها بهنام CVE-2025-5419، در حال حاضر بهطور فعال در فضای اینترنت مورد سوءاستفاده قرار میگیرد.
این آسیبپذیری با عنوان خواندن و نوشتن خارج از محدوده در موتور V8 جاوااسکریپت و WebAssembly کروم شناسایی شده است. بر اساس گزارش مرکز ملی آسیبپذیریها (NVD)، خواندن و نوشتن خارج از محدوده در V8 در کروم نسخههای پیش از 137.0.7151.68 میتواند به مهاجمان از راه دور اجازه دهد از طریق یک صفحه HTML ساختگی، خرابی حافظه heap را بهوجود آورند.
گوگل اعلام کرد این نقص توسط «کلمنت لسین» و «بنوآ سونز» از تیم تحلیل تهدیدات گوگل (TAG) در تاریخ ۲۷ مه ۲۰۲۵ کشف و گزارش شده و روز بعد، با تغییر در تنظیمات نسخه پایدار مرورگر در تمامی سیستمعاملها، برطرف گردید.
با این حال گوگل جزئیات دقیقی درباره نحوه حملات یا هویت عاملان تهدید منتشر نکرده است. این شرکت تایید کرده یک بهرهبرداری جدی از CVE-2025-5419 در فضای اینترنت وجود دارد.
این دومین آسیبپذیری روز صفر کروم است که گوگل در سال جاری اصلاح کرده است. پیشتر آسیبپذیری CVE-2025-2783 که نمره شدت 8.3 داشت توسط کسپرسکی شناسایی شد. از آن آسیبپذیری در حملاتی علیه سازمانهای روسیه استفاده شده بود.
توصیه میشود کاربران کروم مرورگر خود را به نسخه 137.0.7151.68 یا 137.0.7151.69 در ویندوز و مک و نسخه 137.0.7151.68 در لینوکس ارتقا دهند. همچنین، کاربران مرورگرهای مبتنی بر کرومیوم مانند مایکروسافت اج، بریو، اپرا و ویوالدی نیز باید پس از انتشار بروزرسانی، آن را نصب کنند تا از تهدیدهای احتمالی در امان بمانند.
توضیحات بیشتر:
New Chrome Zero-Day Actively Exploited; Google Issues Emergency Out-of-Band Patch