Google اخیراً وصله‌ای امنیتی برای یک آسیب‌پذیری بحرانی در مرورگر Chrome منتشر کرده است که مهاجمان هم‌اکنون در حال سوءاستفاده از آن هستند. این آسیب‌پذیری با شناسه CVE-2025-4664 در بخش Loader مرورگر کشف شده و با توجه به بهره‌برداری فعال، نیازمند واکنش فوری کاربران و مدیران امنیت سایبری است.

چه اتفاقی افتاده است؟

در تاریخ 14 می 2025، تیم Chrome یک به‌روزرسانی امنیتی فوری منتشر کرد تا آسیب‌پذیری خطرناکی را که امکان دور زدن سیاست‌های امنیتی مرورگر را فراهم می‌کرد، برطرف کند. این باگ ناشی از اجرای ناقص سیاست‌های امنیتی در «Loader» است که می‌تواند به مهاجم اجازه دهد تا کد مخرب را در زمینه‌ای غیرمجاز اجرا کند — وضعیتی که در حملات real-world گزارش شده است.

⚠️ شناسه آسیب‌پذیری:

CVE-2025-4664
⚠️ شدت:

بحرانی
⚠️ نوع:

Policy Enforcement Bypass in Loader
⚠️ وضعیت سوءاستفاده:

فعال (Exploited in the Wild)

اخبار امنیت شبکه: 🐼💥  افشای شبکه بزرگ فیشینگ چینی: ارسال روزانه ۲ میلیون پیامک جعلی برای سرقت اطلاعات کاربران

چرا این آسیب‌پذیری اهمیت دارد؟

CVE-2025-4664 از نوع “Policy Bypass” است که امکان اجرای کد دلخواه، فرار از sandbox و حتی حملات XSS پیشرفته را فراهم می‌کند. بهره‌برداری از این آسیب‌پذیری ممکن است با صفحات HTML دست‌کاری‌شده یا کدهای جاسازی‌شده در وب‌سایت‌های آلوده انجام شود.

با توجه به اینکه مهاجمان به‌صورت فعال در حال استفاده از این نقص هستند، تأخیر در ایجاد patch می‌تواند موجب نقض داده، نصب بدافزار و یا دسترسی غیرمجاز به منابع داخلی سازمان شود.

🛠️ چه اقداماتی باید انجام دهید؟

🛡️ برای کاربران عادی:

✅ مرورگر Chrome را فوراً به‌روزرسانی کنید.
نسخه‌های امن:

ویندوز و مک: ‌136.0.7103.113

لینوکس: 136.0.7103.113

اندروید: 136.0.7103.125

✅ بررسی نسخه مرورگر:
به آدرس chrome://settings/help بروید و از به‌روز بودن مرورگر مطمئن شوید.

🛡️ برای کارشناسان و مدیران امنیت سازمانی:

✅ توزیع سریع patch از طریق GPO یا ابزارهای مدیریت پچ
اگر از Chrome در محیط سازمانی استفاده می‌کنید، patch باید به‌صورت فوری در تمامی ایستگاه‌های کاری اعمال شود.

✅ تحلیل ترافیک خروجی و پایش لاگ‌ها
به‌دنبال رفتارهای غیرعادی یا ارتباطات با دامنه‌های مشکوک باشید. از ابزارهایی مانند Suricata، Zeek یا EDRها برای کشف بهره‌برداری احتمالی استفاده کنید.

✅ قرنطینه مرورگرهای آسیب‌پذیر در شبکه‌های حساس
برای سیستم‌هایی که هنوز وصله نشده‌اند، دسترسی به اینترنت را محدود کرده و در VLANهای جداگانه نگهداری کنید.

✅ اطلاع‌رسانی به تیم‌های داخلی و کارمندان غیر فنی
کاربران نهایی را از طریق ایمیل یا پیام داخلی از خطر بالقوه و نیاز به به‌روزرسانی فوری مطلع کنید.

🚨 جمع‌بندی: زنگ خطر برای تیم‌های امنیت

حملات zero day، یکی از تهدیدهای جدی دنیای سایبری محسوب می‌شوند. CVE-2025-4664 به‌وضوح نشان می‌دهد که حتی آسیب‌پذیری‌های جزئی در بخش‌هایی مانند Loader می‌توانند به تهدیدی در سطح سازمانی تبدیل شوند.

برای کارشناسان امنیت، این یک فرصت برای تقویت چرخه واکنش سریع به تهدیدها (Incident Response)، اجرای سیاست‌های سخت‌گیرانه‌تر در مرورگرها و آموزش مداوم کاربران نهایی است.