آسیبپذیریهای بحرانی برطرف شدند؛ کاربران باید فوراً نسخههای جدید را نصب کنند
در تازهترین موج بهروزرسانیهای امنیتی، توسعهدهندگان مرورگرها و نرمافزارهای محبوبی چون Google Chrome، Mozilla Firefox و Thunderbird نسخههای جدیدی منتشر کردهاند که هدف آنها برطرفسازی آسیبپذیریهای گاه بحرانی در این برنامهها است. این نقصها، در صورت سوءاستفاده توسط مهاجمان، میتوانند به اجرای کدهای مخرب، دسترسی غیرمجاز به حافظه و سقوط برنامهها منجر شوند. در ادامه جزئیات این بهروزرسانیها را مرور میکنیم.
آسیبپذیری بحرانی در Firefox و Thunderbird
یکی از مهمترین آسیبپذیریهایی که در این بهروزرسانیها برطرف شده، مربوط به یک ضعف بسیار جدی در تمام نسخههای پشتیبانیشدهی مرورگر Firefox و نرمافزار مدیریت ایمیل Thunderbird است. این آسیبپذیری از نوع double free یا «آزادسازی دوباره منابع» است که در ماژول رمزگذاری libvpx رخ میدهد.
جزئیات فنی آسیبپذیری
در تابع vpx_codec_enc_init_multi که هنگام راهاندازی رمزگذار WebRTC استفاده میشود، در صورتی که تخصیص حافظه با خطا مواجه شود، سیستم ممکن است بهاشتباه دوباره منابع قبلاً آزادشده را آزاد کند. این وضعیت میتواند منجر به خرابی حافظه (Memory Corruption) شود و زمینه را برای سقوط برنامه یا اجرای کد مخرب توسط مهاجم فراهم کند.
توسعهدهندگان Mozilla این آسیبپذیری را در اطلاعیه امنیتی مربوط به Firefox 139 بهعنوان بحرانی (Critical) طبقهبندی کردهاند. هرچند سازمان امنیت سایبری ایالات متحده (CISA) پس از بررسی، این آسیبپذیری را با امتیاز CVSS 7.5 در دستهی خطر بالا (High) قرار داده است. جالب است بدانید که Mozilla در ابتدا برای این آسیبپذیری شناسهی CVE-2025-5262 را ثبت کرده بود، اما بهدلیل اینکه تخصیص نهایی شناسه برعهدهی یک مرجع دیگر (CNA) بود، آن را موقتاً حذف کرد.
نسخههای تحت تأثیر و بهروزرسانیشده
این آسیبپذیری خطرناک در نسخههای زیر برطرف شده است:
Firefox 139
Firefox ESR 128.11
Firefox ESR 115.24
Thunderbird 139
Thunderbird 128.11
کاربران این نرمافزارها باید به منوی تنظیمات برنامه رفته و از طریق مسیر «راهنما → درباره <نام برنامه>» نسخه فعلی را بررسی کرده و در صورت لزوم بهروزرسانی را انجام دهند. این مسیر معمولاً از طریق آیکون سهنقطه یا سهخط بالای صفحه در دسترس است.
هشدار امنیتی برای کاربران Chrome
در کنار بهروزرسانیهای موزیلا، شرکت گوگل نیز نسخهی جدید مرورگر Chrome را برای سیستمعاملهای مختلف منتشر کرده است. این نسخهها در مجموع هشت آسیبپذیری امنیتی را برطرف میکنند که شامل موارد با درجهبندیهای مختلف خطر هستند:
۲ آسیبپذیری با ریسک بالا (High)
۵ آسیبپذیری با ریسک متوسط (Medium)
۱ آسیبپذیری با ریسک پایین (Low)
مهمترین آسیبپذیریهای Chrome
مهمترین ضعفهای امنیتی برطرفشده در Chrome مربوط به موارد زیر هستند:
استفاده پس از آزادسازی (Use After Free) در بخش Compositing، که میتواند به اجرای کد مخرب منجر شود.
نوشتن خارج از محدوده حافظه (Out-of-Bounds Write) در موتور JavaScript معروف Chrome یعنی V8، که از دیگر نقاط حساس مرورگر محسوب میشود.
گوگل این آسیبپذیریها را در نسخههای زیر اصلاح کرده است:
نسخه ۱۳۷.۰.۷۱۵۱.۵۱ برای iOS
نسخه ۱۳۷.۰.۷۱۵۱.۵۵ برای Linux
نسخه ۱۳۷.۰.۷۱۵۱.۵۵ یا ۵۶ برای macOS و Windows
کاربران Chrome باید از طریق منوی «تنظیمات → درباره Chrome» بررسی کنند که آیا از نسخههای مذکور استفاده میکنند یا خیر. در صورت عدم تطابق، مرورگر بهطور خودکار بهروزرسانی را پیشنهاد خواهد کرد.
اهمیت بهروزرسانی فوری
با توجه به سطح بالای خطر برخی از این آسیبپذیریها، بهویژه در Firefox و Chrome، اکیداً توصیه میشود که کاربران در اسرع وقت نرمافزارهای خود را به آخرین نسخه ارتقاء دهند. آسیبپذیریهایی از نوع «use after free» و «memory corruption» از رایجترین اهداف برای هکرها هستند و معمولاً پیشنیاز حملاتی نظیر اجرای کد دلخواه یا نصب بدافزار میباشند.
در دنیای دیجیتال امروز، آسیبپذیریهای نرمافزاری میتوانند بهسرعت به ابزارهایی برای حملات سایبری تبدیل شوند. بهروزرسانیهای امنیتی نهتنها کارکرد بهتر نرمافزارها را تضمین میکنند، بلکه نقش حیاتی در محافظت از اطلاعات کاربران ایفا میکنند. بنابراین، با دریافت آخرین نسخههای Chrome، Firefox و Thunderbird، گامی مهم در مسیر امنیت سایبری خود بردارید.
