The Premise News
التكنولوجيا

جوجل تصدر تحديثًا طارئًا لـكروم لإصلاح ثغرة خامسة تُستغل في 2026

David Wendel Batista
جوجل تصدر تحديثًا طارئًا لـكروم لإصلاح ثغرة خامسة تُستغل في 2026 PHOTO BY The Premise News

أعلنت جوجل عن إصدار تحديث أمني طارئ لمتصفح كروم لمعالجة ثغرة من نوع zero-day عالية الخطورة، وهي الخامسة التي تعالجها الشركة منذ بداية عام 2026 بعد رصد استغلالها في هجمات فعلية.الثغرة، التي تحمل الرمز CVE-2026-11645، توجد في محرك V8 المسؤول عن معالجة كود جافا سكريبت وWebAssembly، وهو مكون أساسي في المتصفح. وفقًا لتنبيه أمني نشرته جوجل يوم الاثنين، تم رصد كود استغلال يستهدف هذه الثغرة في البرية بالفعل. هذا الحدث يسلط الضوء على التحدي المستمر الذي يواجهه مطورو المتصفحات في ظل تزايد استهداف المهاجمين لمتصفحات الويب، التي أصبحت واحدة من أكثر أسطح الهجوم جاذبية للجهات الإجرامية ومجموعات التجسس وبرامج المراقبة التجارية.

تحديث الطوارئ يصل إلى المستخدمين عالميًا

بدأت جوجل في طرح إصدارات محدثة من كروم عبر جميع منصات سطح المكتب الرئيسية — ويندوز وماك ولينكس — فور اكتشاف الثغرة بواسطة باحث أمني مجهول الاسم. تشمل الإصدارات المحدثة Chrome 149.0.7827.102 لنظامي ويندوز ولينكس، وChrome 149.0.7827.103 لنظام ماك. وأشارت الشركة إلى أن عملية الطرح الكامل قد تستغرق عدة أيام أو حتى أسابيع عبر قنوات التحديث المعتادة، لكن باحثين أمنيين أكدوا أن التحديث أصبح متاحًا فورًا من خلال آلية التحديث اليدوي في كروم. يمكن للمستخدمين تشغيل العملية بالانتقال إلى قائمة الإعدادات واختيار قسم “حول Google Chrome”، الذي يتحقق تلقائيًا من وجود إصدارات جديدة.

خطورة الثغرة في محرك V8

تتعلق هذه الثغرة بخلل في القراءة والكتابة خارج الحدود المسموحة في محرك V8، وهو نوع خطير يحدث عندما يصل البرنامج إلى مواقع ذاكرة غير مخصصة خارج المخزن المؤقت، مما يؤدي إلى إفساد الذاكرة وتسريب المعلومات وتعطل التطبيقات وربما تنفيذ كود عشوائي. حذرت جوجل من أن المهاجمين يمكنهم استغلال الثغرة عبر محتوى HTML معد بعناية يتم تقديمه عبر مواقع ضارة أو مخترقة. مجرد زيارة صفحة خبيثة قد تؤدي إلى تفعيل الثغرة حتى داخل بيئة الحماية sandbox في كروم، وهي طبقة أمنية حرجة تهدف إلى عزل محتوى الويب عن نظام التشغيل الأساسي.

تظل ثغرات إفساد الذاكرة في محركات المتصفحات من بين أكثر أنواع العيوب البرمجية قيمة لدى المهاجمين، لأنها غالبًا ما تستخدم كمرحلة أولى في سلسلة هجوم أوسع. وفقًا للمعلومات التقنية المتاحة، فإن الاستغلال الناجح لـ CVE-2026-11645 قد يسمح للمهاجمين بما يلي:

  • قراءة محتويات الذاكرة خارج الحدود المحددة.
  • إفساد بنى ذاكرة الكومة (heap memory).
  • تسريب معلومات حساسة مخزنة داخل عمليات المتصفح.
  • التسبب في تعطل المتصفح وعدم استقراره.
  • تجاوز آليات حماية الذاكرة.
  • تسهيل هجمات تنفيذ كود إضافية عند دمجها مع ثغرات أخرى.

غالبًا ما تمكن ثغرات الوصول إلى الذاكرة خارج الحدود المهاجمين من تجاوز دفاعات مثل عشوائية توزيع مساحة العنوان (ASLR)، وهي آلية تهدف إلى جعل الاستغلال أكثر صعوبة. من خلال كشف تخطيط الذاكرة أو إفساد البنى الحرجة، يمكن للجهات الفاعلة زيادة موثوقية مراحل الاستغلال اللاحقة، مما قد يؤدي إلى اختراق كامل للنظام إذا توفرت ثغرات إضافية.

جوجل تحجب التفاصيل لمنع استغلال الثغرة مجددًا

كإجراء معتاد عند التعامل مع ثغرات يتم استغلالها بنشاط، حجبت جوجل المعلومات التقنية التفصيلية حول الهجمات. وأوضحت الشركة أن الوصول إلى تفاصيل الثغرة وكود الإثبات والوثائق ذات الصلة سيبقى مقيدًا حتى يقوم غالبية مستخدمي كروم بتثبيت التحديث الأمني. تهدف هذه السياسة إلى منع جهات تهديد إضافية من تطوير استغلالات مقلدة قبل حماية الأنظمة الضعيفة. كما أشارت جوجل إلى أن قيود الإفصاح قد تبقى قائمة إذا لم تطبق مشاريع برمجيات طرف ثالث تعتمد على كود مشابه الإصلاحات المقابلة بعد. الشركة لم تكشف عن هوية مكتشف الثغرة أو الجهة المستغلة لها، أو ما إذا كانت الهجمات مرتبطة بمجرمي إلكتروني مدفوعين ماديًا، أو جهات تابعة لدول، أو بائعي مراقبة تجاريين.

خمس ثغرات صفرية في كروم عام 2026

تعد CVE-2026-11645 خامس ثغرة يتم استغلالها بنشاط في كروم تعالجها جوجل هذا العام. استجابت الشركة بالفعل لسلسلة من الثغرات الأمنية الكبيرة خلال النصف الأول من 2026، ومنها:

  • CVE-2026-2441: عولجت في فبراير، وتتعلق بمشكلات إبطال التكرار تؤثر على CSSFontFeatureValuesMap، وهو مكون مسؤول عن معالجة قيم ميزات الخط في CSS داخل بنية كروم.
  • CVE-2026-3909: كُشف عنها في مارس، وهي ثغرة كتابة خارج الحدود تؤثر على مكتبة Skia الرسومية، وهي محرك رسوم مفتوح المصدر يُستخدم على نطاق واسع في نظام كروميوم البيئي.
  • CVE-2026-3910: عولجت أيضًا في مارس، وتتعلق بضعف في التنفيذ داخل محرك V8 الخاص بجافا سكريبت وWebAssembly، مما سمح للمهاجمين بالتلاعب بسلوك المتصفح في ظروف محددة.
  • CVE-2026-5281: عولجت في أبريل، وهي ثغرة من نوع use-after-free تؤثر على Dawn، وهو تطبيق جوجل لمعيار WebGPU الذي يتيح معالجة رسوم متقدمة وتسريع الأجهزة داخل المتصفحات الحديثة.

تواصل ثغرات سلامة الذاكرة — بما في ذلك use-after-free والقراءة والكتابة خارج الحدود — السيطرة على نشاط استغلال المتصفحات رغم الجهود المستمرة من مطوريها لتعزيز الدفاعات. الظهور المتكرر لهذه الثغرات جدد الدعوات إلى اعتماد لغات برمجة آمنة للذاكرة مثل Rust ضمن تطوير المتصفحات. جوجل ومايكروسوفت وشركات تقنية أخرى أولت اهتمامًا متزايدًا لمبادرات سلامة الذاكرة بعد دراسات كشفت أن الغالبية العظمى من الثغرات البرمجية الحرجة تنبع من أخطاء إدارة الذاكرة. في حين أن بنية كروم تتضمن بالفعل العديد من التخفيفات — مثل عزل المواقع وبيئة الحماية وأنظمة كشف الاستغلال والفصل المحسن للعمليات — يرى خبراء الأمن أن تقليل الكود غير الآمن للذاكرة يظل أحد أكثر الدفاعات طويلة الأجل فعالية ضد استغلال المتصفحات.

رأي تحرير The Premise News: التحديث الطارئ لـCVE-2026-11645 هو أكثر من مجرد تحديث أمني آخر — إنه تذكير صارخ بأن مطوري المتصفحات في سباق تسلح لا يهدأ مع مهاجمين يتعاملون الآن مع ثغرات zero-day كسلع متداولة. مع إصلاح خمس ثغرات صفرية في كروم خلال 2026، أصبح تواتر الاستغلال النشط سمة مميزة لمشهد التهديد الحالي. ما هو على المحك بشكل ملموس هو أمن كل مستخدم إنترنت تقريبًا، حيث تظل المتصفحات الواجهة الأساسية للعمل والمالية والتواصل والحوكمة. التوتر الرئيسي هنا يكمن بين سرعة الاستغلال وبطء طرح التصحيحات، مما يترك أعدادًا كبيرة من السكان معرضين للخطر لعدة أيام. على القراء متابعة ما إذا كانت جوجل والمطورون الآخرون سيسرعون في اعتماد لغات آمنة للذاكرة مثل Rust، وما إذا كانت الجهات المهاجمة ستبدأ في استهداف عملية التصحيح نفسها. ملاحظة حادة: حقيقة أن فريق تحليل التهديدات التابع لجوجل يكشف كثيرًا عن هذه الحملات يوحي بأن الشركة هي في الوقت نفسه المدافع ومصدر الاستخبارات الرئيسي — موقف فريد يبرز حجم التحدي. في النهاية، هذه القصة لا تتعلق بثغرة واحدة؛ بل تتعلق بنقاط الضعف الهيكلية لعالم رقمي مبني على أكواد معقدة غير آمنة للذاكرة سيواصل المهاجمون استغلالها حتى تغير الصناعة نهجها بشكل جذري.

ما رأيك؟