کشف آسیب‌پذیری در Microsoft Edge

تاریخ ایجاد 1403/11/20

اخیراً دو آسیب‌پذیری در مرورگر Microsoft Edge (Chromium-Based) با شناسه‌های CVE-2025-21408 و CVE-2025-21342 و شدت 8.8 منتشر شده است. این آسیب‌پذیری‌ها به مهاجمان امکان می‌دهند تا با استفاده از نقاط ضعف موجود در این مرورگر، کد مخرب را از راه دور اجرا کنند.

جزئیات آسیب‌پذیری

مهاجمان می‌توانند با استفاده از این دو نقص، از طریق اجرای کد مخرب روی سیستم قربانی، کنترل دستگاه را در اختیار بگیرند. در صورت بهره‌برداری موفق، حملات می‌توانند شامل نصب بدافزار، سرقت اطلاعات یا تغییر در تنظیمات سیستم باشند. امتیاز EPSS برای این دو آسیب‌پذیری 0.09 درصد است که نشان‌دهنده‌ی احتمال کم بهره‌برداری در 30 روز آینده است.

بردار CVSS: 3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H نشان می‌دهد که:

• این آسیب‌پذیری‌ها از راه دور و از طریق شبکه قابل بهره‌برداری هستند (AV:N)،

• دارای پیچیدگی پایین (AC:L) بوده و نیازی به سطح دسترسی خاصی ندارند (PR:N)،

• تعامل کاربر برای اجرای حمله، ضروری است (UI:R)،

• و می‌توانند تأثیرات شدیدی بر محرمانگی (C:H)، یکپارچگی (I:H) و دسترس‌پذیری (A:H) سیستم داشته باشند.

نسخه‌های تحت تأثیر

اطلاعات دقیقی در مورد نسخه‌های خاص Microsoft Edge که تحت تأثیر این آسیب‌پذیری‌ها قرار دارند، در دسترس نیست.

توصیه‌های امنیتی

• به‌روزرسانی Microsoft Edge به نسخه‌ی 133.0.3065.51 که این آسیب‌پذیری را رفع کرده است.

• کاربران از کلیک روی ایمیل‌های مشکوک یا دانلود فایل‌های ناشناس خودداری کنند، زیرا ممکن است حاوی کد مخرب باشند که از این آسیب‌پذیری‌ها بهره‌برداری می‌کنند.

• نصب و به‌روزرسانی نرم‌افزارهای آنتی‌ویروس و امنیتی می‌تواند به شناسایی و جلوگیری از بهره‌برداری‌های احتمالی کمک کند.

منابع خبر:

https://nvd.nist.gov/vuln/detail/CVE-2025-21342

https://nvd.nist.gov/vuln/detail/CVE-2025-21408

https://www.cvedetails.com/cve/CVE-2025-21342

https://www.cvedetails.com/cve/CVE-2025-21408

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21342

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-21408