هشدار فوری گوگل: آسیب‌پذیری بحرانی کروم راه نفوذ هکرها را باز می‌کند! (فوری آپدیت کنید!)

در یک خبر فوری امنیتی، گوگل به‌تازگی یک بروزرسانی اضطراری را برای مرورگر کروم منتشر کرده تا به یک آسیب‌پذیری حیاتی از نوع "Use-After-Free" (CVE-2025-9478) در کتابخانه گرافیکی ANGLE رسیدگی کند. این نقص امنیتی می‌تواند به مهاجمان اجازه اجرای کد دلخواه بر روی سیستم‌های آلوده را بدهد و تهدیدی جدی برای امنیت کاربران کروم محسوب می‌شود.

آسیب‌پذیری بحرانی کروم: جزئیات و تاثیرات

این آسیب‌پذیری که توسط تیم تحقیقاتی مبتنی بر هوش مصنوعی Google’s Big Sleep در تاریخ ۱۱ آگوست ۲۰۲۵ کشف شد، بالاترین امتیاز شدت CVSS یعنی ۹.۸ (بحرانی) را دریافت کرده است. این نقص به طور خاص در کتابخانه ANGLE (Almost Native Graphics Layer Engine) کروم وجود دارد که مسئول ترجمه فراخوانی‌های API OpenGL ES به APIهای گرافیکی سخت‌افزاری مانند Direct3D و Vulkan است.

آسیب‌پذیری‌های "Use-After-Free" زمانی رخ می‌دهند که یک برنامه پس از آزاد کردن حافظه، همچنان از اشاره‌گر آن حافظه استفاده کند. این وضعیت، فرصت‌هایی را برای دستکاری حافظه و حملات تخریب حافظه ایجاد می‌کند. در مورد این آسیب‌پذیری خاص، نقص در روال‌های مدیریت حافظه ANGLE می‌تواند از طریق محتوای وب مخرب که توالی‌های نامناسب آزاد کردن حافظه را تحریک می‌کند، مورد سوءاستفاده قرار گیرد.

نسخه‌های آسیب‌پذیر: این آسیب‌پذیری بر نسخه‌های کروم قبل از 139.0.7258.154 و 139.0.7258.155 در پلتفرم‌های ویندوز، مک و لینوکس تاثیر می‌گذارد.

پیامدهای بهره‌برداری موفق: در صورت بهره‌برداری موفق، مهاجمان قادر خواهند بود تا کد دلخواه را با امتیازات فرآیند رندر کروم اجرا کنند. این امر به طور بالقوه می‌تواند منجر به خروج از سندباکس (sandbox escape) و در نهایت، سازش کامل سیستم شود. نگرانی ویژه از آنجایی ناشی می‌شود که ANGLE به طور گسترده‌ای در برنامه‌های وبی که از رندرینگ WebGL، عملیات HTML5 Canvas و پردازش گرافیکی شتاب‌دهنده GPU استفاده می‌کنند، کاربرد دارد.

روش‌های حمله: مهاجمان می‌توانند از روش‌های مختلفی برای بهره‌برداری از این نقص استفاده کنند، از جمله:

• حملات دانلود از راه دور (drive-by download)

• تبلیغات مخرب

• وب‌سایت‌های آلوده یا به خطر افتاده

• محتوای وب مخرب که نیاز به فعال بودن شتاب‌دهنده GPU دارد

اقدامات کاهشی و توصیه‌های امنیتی فوری

با توجه به ماهیت حیاتی این آسیب‌پذیری و پتانسیل آن برای بهره‌برداری روز صفر (zero-day exploitation)، اقدامات فوری برای محافظت از سیستم‌ها ضروری است.

۱. به‌روزرسانی فوری کروم: مهمترین گام، استقرار فوری نسخه 139.0.7258.154 یا بالاتر کروم است. این بروزرسانی که از ۲۶ آگوست ۲۰۲۵ به طور خودکار در حال انتشار جهانی است، شامل پچ‌های جامع برای توابع مدیریت حافظه ANGLE و مکانیسم‌های حفاظت از پشته (heap) برای جلوگیری از شرایط مشابه Use-After-Free است.

۲. اقدامات امنیتی برای سازمان‌ها: تیم‌های امنیتی در سازمان‌ها باید اقدامات زیر را در اولویت قرار دهند:

• استقرار راه‌حل‌های تشخیص و پاسخ Endpoint (EDR).

• تقسیم‌بندی شبکه (network segmentation).

• فهرست سفید کردن برنامه‌ها (application allowlisting) برای شناسایی تلاش‌های احتمالی بهره‌برداری.

• استفاده از هدرهای Content Security Policy (CSP) و فناوری‌های جداسازی مرورگر برای محدود کردن سطح حمله برای بهره‌برداری‌های مبتنی بر وب.

۳. نظارت مستمر: متخصصان امنیت باید برای شناسایی تلاش‌های فعال بهره‌برداری علیه نصب‌های پچ‌نشده کروم، الگوهای غیرعادی ترافیک شبکه، ایجاد فرآیندهای غیرمنتظره و رفتارهای تخصیص حافظه غیرمعمول را زیر نظر داشته باشند.

با توجه به شدت این آسیب‌پذیری، توصیه می‌شود که همه کاربران کروم بلافاصله مرورگر خود را به‌روزرسانی کنند تا از خود در برابر این تهدید جدی محافظت نمایند.