اخیراً دو آسیبپذیری در مرورگر Microsoft Edge (Chromium-Based) با شناسههای CVE-2025-21408 و CVE-2025-21342 و شدت 8.8 منتشر شده است. این آسیبپذیریها به مهاجمان امکان میدهند تا با استفاده از نقاط ضعف موجود در این مرورگر، کد مخرب را از راه دور اجرا کنند.
جزئیات آسیبپذیری
مهاجمان میتوانند با استفاده از این دو نقص، از طریق اجرای کد مخرب روی سیستم قربانی، کنترل دستگاه را در اختیار بگیرند. در صورت بهرهبرداری موفق، حملات میتوانند شامل نصب بدافزار، سرقت اطلاعات یا تغییر در تنظیمات سیستم باشند. امتیاز EPSS برای این دو آسیبپذیری 0.09 درصد است که نشاندهندهی احتمال کم بهرهبرداری در 30 روز آینده است.
بردار CVSS: 3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H نشان میدهد که:
- این آسیبپذیریها از راه دور و از طریق شبکه قابل بهرهبرداری هستند (AV:N)،
- دارای پیچیدگی پایین (AC:L) بوده و نیازی به سطح دسترسی خاصی ندارند (PR:N)،
- تعامل کاربر برای اجرای حمله، ضروری است (UI:R)،
- و میتوانند تأثیرات شدیدی بر محرمانگی (C:H)، یکپارچگی (I:H) و دسترسپذیری (A:H) سیستم داشته باشند.
نسخههای تحت تأثیر
اطلاعات دقیقی در مورد نسخههای خاص Microsoft Edge که تحت تأثیر این آسیبپذیریها قرار دارند، در دسترس نیست.
توصیههای امنیتی
- بهروزرسانی Microsoft Edge به نسخهی 133.0.3065.51 که این آسیبپذیری را رفع کرده است.
- کاربران از کلیک روی ایمیلهای مشکوک یا دانلود فایلهای ناشناس خودداری کنند، زیرا ممکن است حاوی کد مخرب باشند که از این آسیبپذیریها بهرهبرداری میکنند.
- نصب و بهروزرسانی نرمافزارهای آنتیویروس و امنیتی میتواند به شناسایی و جلوگیری از بهرهبرداریهای احتمالی کمک کند.
منابع خبر:
[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21342
[2]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21408
[3]https://nvd.nist.gov/vuln/detail/CVE-2025-21342
[4]https://nvd.nist.gov/vuln/detail/CVE-2025-21408
- 202