رفع چهارمین آسیب‌پذیری روزصفر گوگل

به گزارش کارگروه امنیت سایبربان؛ گوگل به‌روزرسانی‌های اضطراری را برای پچ کردن یک آسیب‌پذیری روز صفر دیگر کروم که در حملات مورد سوءاستفاده قرار گرفته بود، منتشر کرد و چهارمین نقص از این نوع را که از ابتدای سال برطرف شده، نشان داد.

گوگل در یک توصیه‌نامه امنیتی اعلام کرد:

«گوگل از وجود یک آسیب‌پذیری برای «CVE-2025-6554» در سطح اینترنت آگاه است. این مشکل در 26 ژوئن امسال با تغییر پیکربندی برطرف شد که به کانال پایدار در تمام پلتفرم‌ها منتقل گردید.»

شرکت این آسیب‌پذیری روز صفر را برای کاربران کانال پایدار دسکتاپ برطرف و نسخه‌های جدید آن را یک روز پس از گزارش این مشکل به گوگل، در سراسر جهان برای کاربران ویندوز (138.0.7204.96/.97)، مک (138.0.7204.92/.93) و لینوکس (138.0.7204.96) منتشر کرد.

این اشکال توسط کلمنت لچین (Clément Lecigne) از گروه تحلیل تهدید گوگل (TAG)، جمعی از محققان امنیتی که بر دفاع از مشتریان گوگل در برابر حملات تحت حمایت دولت و سایر حملات مشابه تمرکز دارند، کشف شد. گوگل تگ (Google TAG) اغلب اکسپلویت‌های روز صفر را که توسط عوامل تهدید تحت حمایت دولت در حملات هدفمند برای آلوده کردن افراد پرخطر، از جمله سیاستمداران مخالف، مخالفان و روزنامه‌نگاران، با جاسوس‌افزار به کار گرفته می‌شوند، کشف می‌کند.

اگرچه به‌روزرسانی‌های امنیتی پچ CVE-2025-6554 ممکن است روزها یا هفته‌ها طول بکشد تا به همه کاربران برسد، اما طبق گفته گوگل، این به‌روزرسانی‌ها در دسترس قرار گرفتند.

کاربرانی که ترجیح می‌دهند به‌روزرسانی را به صورت دستی انجام ندهند، می‌توانند به مرورگر وب خود تکیه کنند تا به‌طور خودکار به‌روزرسانی‌های جدید را بررسی و پس از راه‌اندازی بعدی، آنها را نصب کند.

باگ روز صفر که برطرف شد، یک ضعف سردرگمی از نوع شدت بالا در موتور جاوا اسکریپت «Chrome V8» است. درحالی‌که چنین نقص‌هایی معمولاً پس از بهره‌برداری موفقیت‌آمیز با خواندن یا نوشتن حافظه خارج از محدوده بافر منجر به خرابی مرورگر می‌شوند، مهاجمان همچنین می‌توانند از آنها برای اجرای کد دلخواه در دستگاه‌های وصله نشده سوءاستفاده کنند.

اگرچه گوگل اظهار داشت که این آسیب‌پذیری در سطح اینترنت مورد سوءاستفاده قرار گرفته، اما شرکت هنوز جزئیات فنی یا اطلاعات اضافی در مورد این حملات را به اشتراک نگذاشته است. گوگل تصریح کرد:

«دسترسی به جزئیات و لینک‌های باگ ممکن است تا زمانی که اکثر کاربران با یک پچ به‌روزرسانی نشوند، محدود بماند. همچنین اگر این باگ در یک کتابخانه شخص ثالث وجود داشته باشد که پروژه‌های دیگر به طور مشابه به آن وابسته هستند، اما هنوز آن را برطرف نکرده‌اند، محدودیت‌هایی را حفظ خواهیم کرد.»

این چهارمین آسیب‌پذیری روز صفر گوگل کروم است که از ابتدای سال به طور فعال مورد سوءاستفاده قرار گرفته و 3 مورد دیگر در ماه‌های مارس، می و ژوئن پچ شده‌اند.

اولین مورد، یک نقص فرار از جعبه شنی با شدت بالا (CVE-2025-2783) است که توسط بوریس لارین (Boris Larin) و ایگور کوزنتسوف (Igor Kuznetsov) از کسپرسکی گزارش شده، در حملات جاسوسی با هدف قرار دادن سازمان‌های دولتی و رسانه‌های روسیه با بدافزار استفاده شده است.

گوگل در ماه می سال جاری مجموعه‌ای دیگر از به‌روزرسانی‌های امنیتی اضطراری را برای رفع یک آسیب‌پذیری روز صفر کروم (CVE-2025-4664) منتشر کرد که می‌تواند به مهاجمان اجازه دهد حساب‌ها را بدزدند. یک ماه بعد، این شرکت یک ضعف خواندن و نوشتن خارج از محدوده در موتور جاوا اسکریپت V8 کروم را که توسط بنوا سِوِنز و کلِمِنت لِسین از گوگل تگ کشف شده بود، برطرف کرد.

در سال ۲۰۲۴، گوگل در مجموع ۱۰ آسیب‌پذیری روز صفر را که یا در حملات مورد سوءاستفاده قرار گرفته بودند یا در مسابقات هک «Pwn2Own» به نمایش گذاشته شده بودند، پچ کرد.