کشف آسیب‌پذیری در دربخش افزونه‌های Google Chrome

کشف آسیب‌پذیری در دربخش افزونه‌های Google Chrome

تاریخ ایجاد

افزونه‌های مرورگر Chrome با گسترش قابلیت‌های مرورگر به کاربران امکان می‌دهند تعامل با وب‌سایت‌ها را سفارشی‌سازی کرده و فرآیندهای تکراری را خودکار کنند. این سطح از انعطاف‌پذیری باعث می‌شود افزونه‌ها به یکی از نقاط بالقوه برای حملات تبدیل شوند.

 

جزئیات آسیب‌پذیری

در نسخه‌های قبل از 139.0.7258.66 از مرورگر Google Chrome، یک آسیب‌پذیری از نوع Use-After-Free با شناسه‌ی CVE-2025-8576 و شدت 8.8 در بخش افزونه‌ها شناسایی شده است. این نقص به یک مهاجم از راه دور امکان می‌دهد با استفاده از یک افزونه Chrome مخرب، شرایطی ایجاد کند که در آن حافظه‌ای که قبلاً آزاد شده دوباره مورد استفاده قرار گیرد. این دسترسی غیرمجاز به حافظه‌ی آزاد شده می‌تواند منجر به تخریب حافظه شود که زمینه‌ساز قفل کردن و اجرای کد دلخواه خواهد بود.

از آنجا که افزونه‌ها می‌توانند به بخش‌های عمیق‌تری از ساختار مرورگر دسترسی داشته باشند، چنین آسیب‌پذیری‌هایی در صورت ترکیب با سایر نقص‌ها می‌توانند به حملات پیچیده‌تر منجر شوند. تاثیر این آسیب‌پذیری می‌تواند شامل تخریب حافظه، کاهش پایداری سیستم و نفوذ به حریم خصوصی کاربران از طریق نصب یا اجرای غیرمجاز کد در محیط مرورگر باشد.

بردار CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H نشان می‌دهد مهاجم برای بهره‌برداری از این آسیب‌پذیری نیازی به احراز هویت ندارد؛ به همین دلیل مهاجم می‌تواند بدون داشتن دسترسی قبلی به سیستم هدف و تنها با ترغیب کاربر به نصب یا اجرای یک افزونه مخرب، حمله را آغاز کند. پیچیدگی حمله پایین است. موفقیت در اجرای این حمله می‌تواند منجر به افشای اطلاعات حساس، دست‌کاری در داده‌ها و در نهایت اختلال کامل در عملکرد سیستم شود، بنابراین محرمانگی، یکپارچگی و دسترس‌پذیری به‌طور همزمان تحت تأثیر قرار می‌گیرند.

از آنجایی که این آسیب‌پذیری به‌صورت مستقیم سیستم‌عامل یا شبکه را درگیر نمی‌کند و در بستر مرورگر اتفاق می‌افتد، تأثیر آن محدود به مرورگر کاربر است.

 

نسخه‌های تحت‌تأثیر

  • کلیه‌ی نسخه‌های پیش از 139.0.7258.66 تحت تأثیر این آسیب‌پذیری قرار دارند.

 

توصیه‌های امنیتی

  • به‌روزرسانی مرورگر به نسخه‌ی 139.0.7258.66 یا بالاتر
  • عدم نصب افزونه‌های ناشناس یا غیرقابل‌اعتماد: فقط از افزونه‌هایی استفاده کنید که در Chrome Web Store منتشر شده‌اند و دارای امتیاز و بازخورد مناسب هستند.
  • مرور و مدیریت دوره‌ای افزونه‌ها: افزونه‌های نصب‌شده را بررسی نموده و هر افزونه‌ای که استفاده نمی‌شود یا منبع آن مشکوک است را غیرفعال یا حذف نمایید.
  • محدود کردن سطح دسترسی افزونه‌ها در تنظیمات Chrome

 

منابع خبر:

[1]https://nvd.nist.gov/vuln/detail/CVE-2025-8576

[2]https://www.cve.org/CVERecord?id=CVE-2025-8576

[3]https://euvd.enisa.europa.eu/vulnerability/CVE-2025-8576

[4]https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop.html

برچسب‌ها
اخبار، هشدارها و راهنمایی امنیتی
  • 119