انتشار بهروزرسانی امنیتی گوگل برای ششمین Chrome zero-day سال جاری
گوگل بهروزرسانیهای امنیتی اضطراری برای رفع یک آسیبپذیری zero-day در مرورگر Chrome منتشر کرد؛ این آسیبپذیری ششمین موردی است که از ابتدای سال جاری در حملات سایبری مورد سوءاستفاده قرار گرفته است.
هرچند گوگل بهطور مشخص اعلام نکرده است که این نقص امنیتی همچنان بهصورت فعال در فضای اینترنت مورد بهرهبرداری قرار میگیرد یا خیر، اما هشدار داده که یک کد بهرهبرداری عمومی برای آن موجود است که نشانهای متداول از سوءاستفاده فعال محسوب میشود.
گوگل در یک اعلان امنیتی که چهارشنبه منتشر شد اعلام کرد:
«گوگل آگاه است که یک اکسپلویت برای آسیبپذیری CVE-2025-10585 در فضای اینترنت وجود دارد.»
این آسیبپذیری با شدت بالا ناشی از یک ضعف type confusion در موتور V8 JavaScript مرورگر است که روز سهشنبه توسط تیم Google Threat Analysis Group (TAG) گزارش شد.
تیم Google TAG معمولاً آسیبپذیریهای zero-day را که توسط عوامل تهدید وابسته به دولتها در کمپینهای جاسوسی هدفمند علیه افراد پرخطر مانند سیاستمداران مخالف، فعالان مدنی و روزنامهنگاران مورد سوءاستفاده قرار میگیرند، شناسایی میکند.
گوگل تنها یک روز بعد این مشکل را با انتشار نسخههای ۱۴۰٫۰٫۷۳۳۹٫۱۸۵/.۱۸۶ برای Windows/Mac و ۱۴۰٫۰٫۷۳۳۹٫۱۸۵ برای Linux برطرف کرد. این نسخهها طی هفتههای آینده در کانال پایدار دسکتاپ ارائه خواهند شد.
اگرچه Chrome بهطور خودکار پس از انتشار وصلههای امنیتی بهروزرسانی میشود، کاربران میتوانند فرآیند بهروزرسانی را با رفتن به مسیر Chrome menu > Help > About Google Chrome سرعت بخشند و پس از تکمیل دانلود، با کلیک روی دکمه Relaunch نصب آن را فوراً انجام دهند.
هرچند گوگل تأیید کرده است که آسیبپذیری CVE-2025-10585 در حملات واقعی مورد سوءاستفاده قرار گرفته، هنوز جزئیات بیشتری درباره نحوه بهرهبرداری در محیط واقعی منتشر نکرده است.
گوگل اعلام کرد:
«دسترسی به جزئیات باگ و لینکهای مربوطه ممکن است تا زمانی که اکثر کاربران به نسخه اصلاحشده بهروزرسانی شوند، محدود بماند. همچنین اگر این باگ در یک کتابخانه شخص ثالث وجود داشته باشد که پروژههای دیگر نیز به آن وابسته باشند ولی هنوز آن را رفع نکرده باشند، این محدودیت ادامه خواهد داشت.»
این نقص ششمین Chrome zero-day است که در سال جاری بهصورت فعال مورد سوءاستفاده قرار گرفته و توسط گوگل رفع شده است؛ پیش از این پنج مورد دیگر در ماههای March، May، June و July پچ شده بودند.
در July، گوگل یک zero-day دیگر (CVE-2025-6558) را که توسط پژوهشگران Google TAG گزارش شده بود و به مهاجمان امکان دور زدن حفاظت sandbox مرورگر را میداد، برطرف کرد.
در May نیز گوگل بهروزرسانیهای امنیتی اضطراری برای رفع یک Chrome zero-day (CVE-2025-4664) منتشر کرد که به مهاجمان امکان سرقت حسابهای کاربری را میداد، و همچنین یک ضعف out-of-bounds read and write (CVE-2025-5419) در موتور V8 JavaScript که توسط Google TAG کشف شده بود در June اصلاح شد.
در March، گوگل یک نقص با شدت بالا (CVE-2025-2783) را که توسط Kaspersky گزارش شده بود و در حملات جاسوسی علیه سازمانهای دولتی و رسانههای روسیه مورد استفاده قرار میگرفت، پچ کرد.
سال گذشته نیز گوگل ۱۰ آسیبپذیری zero-day دیگر را که یا در مسابقات هک Pwn2Own نمایش داده شده بودند یا در حملات واقعی مورد سوءاستفاده قرار گرفته بودند، برطرف کرد.
