گوگل بهتازگی نسخه جدیدی از مرورگر کروم را منتشر کرده که شامل ۲۰ وصله امنیتی مهم است. چند مورد از این آسیبپذیریها در رده «شدید» یا «بحرانی» طبقهبندی شدهاند. اغلب این نقصها در موتور V8 شناسایی شدهاند؛ بخشی از کروم که مسئول اجرای کدهای جاوااسکریپت در صفحات وب است.
با توجه به اینکه بیش از ۳.۴ میلیارد نفر در سراسر جهان از کروم استفاده میکنند، آسیبپذیریهای این مرورگر میتوانند میلیاردها کاربر را در معرض خطر قرار دهند؛ بهویژه زمانی که هنوز بهروزرسانی جدید را نصب نکرده باشند.
این نقصها بسیار جدی هستند، زیرا به بخشی از کد مرورگر مربوط میشوند که هنگام باز کردن تقریبا هر صفحهای در اینترنت بهصورت خودکار اجرا میشود. در چنین شرایطی، مهاجمان میتوانند با بارگذاری کدهای آلوده در صفحات وب، اطلاعات کاربر را سرقت کنند یا حتی کنترل کامل دستگاه او را در اختیار بگیرند.
بهروزرسانی سریع مرورگر برای جلوگیری از چنین حملاتی ضروری است، چرا که مهاجمان اغلب پیش از نصب وصله امنیتی توسط اکثر کاربران، اقدام به سوءاستفاده از این آسیبپذیریها میکنند.
در میان آسیبپذیریهای اعلامشده، دو مورد بیش از دیگران جلب توجه کردهاند:
- CVE-2025-12428 یک آسیبپذیری با شدت بالا از نوع «type confusion» در موتور V8 است. در این حالت، برنامه دادهای را بهاشتباه بهعنوان نوعی دیگر تعبیر میکند و آن را بهشکل نادرست استفاده میکند. برای مثال، عددی را بهجای متن یا لیستی را بهجای یک مقدار واحد در نظر میگیرد. این مسئله میتواند راه را برای اجرای کد مخرب توسط مهاجم هموار کند. گوگل بابت کشف این باگ، جایزهای ۵۰ هزار دلاری پرداخت کرده است.
- CVE-2025-12036 نیز با شدت «بحرانی» طبقهبندی شده و امکان اجرای کد از راه دور (RCE) را به مهاجم میدهد. یعنی صرفا با بازدید از یک صفحه خاص، کاربر آلوده میشود. این آسیبپذیری توسط سامانه هوشمند گوگل موسوم به Big Sleep شناسایی شده و از نقص در پردازش داخلی موتور جاوااسکریپت و WebAssembly ناشی میشود.
گوگل هشدار داده است کاربران باید مرورگر خود را بهسرعت بهروزرسانی و پس از نصب وصلهها، مرورگر را مجددا راهاندازی کنند تا این تغییرات اعمال شود. همچنین به کاربران مرورگرهای مبتنی بر کرومیوم توصیه شده که در روزهای آینده منتظر انتشار بهروزرسانیهای مشابه باشند.
توضیحات بیشتر: