جوجل تُصدر تحديثًا أمنيًا عاجلًا لمتصفح Chrome لإصلاح ثغرة خطيرة قد تؤدي لاختراق الحسابات

أطلقت شركة جوجل تحديثًا أمنيًا طارئًا لمتصفح Chrome بهدف معالجة ثغرة خطيرة قد تُتيح للقراصنة السيطرة الكاملة على حسابات المستخدمين في حال استغلالها بنجاح.

ورغم أن الشركة لم تؤكد بشكل قاطع ما إذا كانت هذه الثغرة قد استُغلت في هجمات فعلية، إلا أنها حذرت من وجود كود استغلال علني لها، وهو ما يُشير عادةً إلى احتمال وجود هجمات نشطة.

تفاصيل الثغرة الأمنية CVE-2025-4664

جاء في البيان الأمني الرسمي الصادر يوم الأربعاء:

“تدرك جوجل وجود تقارير تفيد بأن هناك استغلالًا نشطًا للثغرة CVE-2025-4664.”

تم اكتشاف الثغرة من قبل الباحث الأمني Vsevolod Kokorin من شركة Solidlab، وهي ناتجة عن ضعف في تطبيق السياسات داخل مكوّن التحميل (Loader) في Chrome، ما يُمكن المهاجمين من تسريب بيانات حساسة بين المواقع (cross-origin) عبر صفحات HTML تم تصميمها بشكل خبيث.

كيف يتم الاستغلال؟

شرح Kokorin طريقة الاستغلال قائلًا إن متصفح Chrome يختلف عن باقي المتصفحات في كيفية التعامل مع رأس HTTP المسمى Link في الطلبات الفرعية، حيث يمكن لهذا الرأس أن يُحدد سياسة إعادة الإحالة (referrer-policy) مثل unsafe-url، ما يتيح سرقة البيانات الموجودة في معلمات URL — مثل رموز التحقق الحساسة في عمليات تسجيل الدخول عبر OAuth.

وأضاف:

“معلمات الاستعلام قد تتضمن معلومات حساسة، وفي سيناريوهات OAuth، قد يؤدي ذلك إلى اختراق كامل للحساب. المطورون نادرًا ما يأخذون هذا الخطر بالحسبان.”

التحديثات متوفرة الآن

قامت جوجل بإصلاح الثغرة في قناة Chrome Stable Desktop عبر الإصدارات التالية:

• 136.0.7103.113 لنظامي Windows وLinux
• 136.0.7103.114 لنظام macOS

وتؤكد الشركة أن التحديثات سيتم نشرها تدريجيًا خلال الأيام والأسابيع المقبلة، لكنها متاحة بالفعل الآن ويمكن للمستخدمين تحميلها يدويًا، أو ببساطة إعادة تشغيل المتصفح ليتم التحديث تلقائيًا.

ثغرات سابقة تم استغلالها

يُذكر أنه في مارس الماضي، قامت جوجل بإصلاح ثغرة أمنية خطيرة أخرى (CVE-2025-2783) تم استغلالها في هجمات تجسسية استهدفت مؤسسات حكومية روسية، ووسائل إعلام، وجامعات.

ووفقًا لتقارير من Kaspersky، استُخدمت تلك الثغرة لتجاوز حماية Sandbox في Chrome وتثبيت برمجيات خبيثة على أجهزة الضحايا.

كما قامت جوجل خلال عام 2024 بإصلاح 10 ثغرات من نوع Zero-Day، تم الكشف عن بعضها خلال مسابقة Pwn2Own أو استخدامها فعليًا في هجمات إلكترونية.

مقالات ذات صلة:

• شركة روسية تعرض مكافآت تصل إلى 4 ملايين دولار لاختراق تيليجرام
• تحديثات جديدة من جوجل لمتصفح Chrome تعزز تجربة الاستخدام والمزامنة بين الأجهزة
• آبل تصدر تحديثات أمنية عاجلة لإصلاح أول ثغرة يوم الصفر لعام 2025
• مايكروسوفت تصدر تصحيحات أمنية لـ 63 ثغرة خطيرة في فبراير 2025: تفاصيل ثغرتين قيد الاستغلال
• آبل تصدر تحديثات أمنية طارئة لإصلاح ثغرة يوم صفر استُغلت في هجمات “شديدة التعقيد”