ثغرات كروم يوم الصفر — جوجل تُصدر تحديثاً طارئاً لإصلاح ثغرتين

ثغرات كروم يوم الصفر: جوجل تُطلق تحديثاً أمنياً طارئاً لمعالجة ثغرتين مُستغلتين في هجمات فعلية

جابر بوذيبة
128 مشاهدات
8 دقيقة للقراءة
جوجل كروم
أبرز النقاط
  • جوجل أصدرت تحديث كروم طارئاً لإصلاح ثغرتين من نوع يوم الصفر مُستغلتين في هجمات حقيقية.
  • الثغرة الأولى (CVE-2026-3909) تُصيب مكتبة الرسوميات Skia وقد تُتيح تنفيذ تعليمات برمجية خبيثة.
  • الثغرة الثانية (CVE-2026-3910) تستهدف محرك V8 لتشغيل جافاسكربت وWebAssembly.
  • التصحيح صدر خلال يومين فقط من اكتشاف الثغرتين، والتحديث متاح الآن لأنظمة ويندوز وmacOS ولينكس.
  • هاتان الثغرتان هما الثانية والثالثة من نوع يوم الصفر التي تُصلَح في كروم منذ مطلع 2026.

أصدرت جوجل تحديثات أمنية طارئة لمتصفح جوجل كروم لسد ثغرات كروم يوم الصفر عالية الخطورة التي تعرّض المستخدمين لمخاطر حقيقية. الشركة أكدت في نشرة أمنية نُشرت يوم الخميس أن استغلالات فعلية لكلتا الثغرتين موجودة ونشطة، مما يجعل تحديث المتصفح أمراً عاجلاً لجميع المستخدمين على أنظمة ويندوز وmacOS ولينكس.

“جوجل على علم بوجود استغلالات لكلٍّ من CVE-2026-3909 وCVE-2026-3910 في البيئة الفعلية.” — جوجل، النشرة الأمنية

تفاصيل ثغرتي يوم الصفر في متصفح كروم

تتفاوت الثغرتان في طبيعتهما التقنية، لكنهما تشتركان في درجة الخطورة العالية وفي كونهما مُستغلتين فعلياً. فيما يلي تفصيل لكل منهما.

الثغرة الأولى: كتابة خارج الحدود في مكتبة Skia (CVE-2026-3909)

تنبع الثغرة الأولى من خلل من نوع الكتابة خارج حدود المصفوفة (Out-of-Bounds Write) في مكتبة Skia، وهي مكتبة رسوميات ثنائية الأبعاد مفتوحة المصدر تتولى عرض محتوى الويب وعناصر واجهة المستخدم في كروم.

يمكن للمهاجمين استغلال هذا الخلل لتحقيق أحد سيناريوهين:

  • إيقاف المتصفح عن العمل (Crash) بشكل مفاجئ.
  • تنفيذ تعليمات برمجية خبيثة على جهاز الضحية، وهو السيناريو الأخطر.

ثغرات الكتابة خارج الحدود تُصنَّف عادةً ضمن الفئة الأعلى خطورة، لأنها تمنح المهاجم القدرة على الكتابة في مناطق عشوائية من الذاكرة، مما قد يُفضي إلى السيطرة على تدفق تنفيذ البرنامج.

الثغرة الثانية: تطبيق غير سليم في محرك V8 (CVE-2026-3910)

الثغرة الثانية توصف بأنها خلل في التطبيق غير السليم (Inappropriate Implementation) داخل محرك V8، وهو المحرك الذي يتولى تشغيل جافاسكربت (JavaScript) وويب أسمبلي (WebAssembly) في متصفح كروم.

محرك V8 يُعدّ من أكثر المكونات حساسية في المتصفح، إذ يُعالج الشيفرات البرمجية من ملايين المواقع يومياً. أي ثغرة فيه تفتح الباب أمام هجمات واسعة النطاق تستهدف المستخدمين بمجرد زيارتهم لصفحة ويب خبيثة.

💡 نصيحة خبير: محرك V8 ومكتبة Skia من أكثر مكونات كروم استهدافاً من قبل المهاجمين المتقدمين، نظراً لكونهما يُعالجان مدخلات غير موثوقة مباشرة من الويب. إذا كنت تُدير أنظمة مؤسسية، تأكد من أن سياسات التحديث التلقائي للمتصفح مُفعَّلة ولا تخضع لتأخير يدوي.

إصدارات التحديث المتاحة وسرعة الاستجابة

تعاملت جوجل مع هاتين الثغرتين بسرعة لافتة، إذ اكتشفت الخللين داخلياً وأصدرت التصحيح خلال يومين فقط من تسجيلهما. التحديثات الجديدة متاحة الآن عبر قناة الإصدار المستقر (Stable Desktop Channel) للأنظمة الثلاثة الرئيسية:

نظام التشغيلرقم الإصدار المُحدَّث
ويندوز146.0.7680.75
macOS146.0.7680.76
لينكس146.0.7680.75

أشارت جوجل إلى أن التحديث خارج الجدول المعتاد (Out-of-Band Update) قد يستغرق أياماً أو أسابيع للوصول إلى جميع المستخدمين تلقائياً. لكن عملياً، كان التحديث متاحاً فوراً عند التحقق يدوياً وفقاً لما أكده موقع BleepingComputer.

كيفية تحديث متصفح كروم فوراً للحماية من ثغرات يوم الصفر

لا تنتظر وصول التحديث التلقائي. يمكنك التحقق يدوياً وتثبيت التصحيح بخطوات بسيطة:

  1. افتح متصفح كروم على جهازك.
  2. انقر على القائمة (النقاط الثلاث) في الزاوية العلوية.
  3. انتقل إلى مساعدة ← حول Google Chrome.
  4. سيبدأ المتصفح تلقائياً بالبحث عن التحديثات وتنزيلها.
  5. بعد اكتمال التنزيل، انقر على إعادة التشغيل لتفعيل التحديث.

بدلاً من ذلك، يمكنك تفعيل خيار التحديث التلقائي ليتولى المتصفح تثبيت التصحيحات الأمنية عند كل إغلاق وإعادة فتح.

💡 نصيحة خبير: مجرد تنزيل التحديث لا يكفي لتفعيل الحماية — يجب إعادة تشغيل المتصفح بالكامل. إذا كنت من المستخدمين الذين يتركون المتصفح مفتوحاً لأيام متواصلة بعشرات التبويبات، فأنت على الأرجح لا تزال تعمل بإصدار قديم حتى بعد تنزيل التحديث.

السياق الأوسع: ثغرات كروم يوم الصفر في 2026

هاتان الثغرتان ليستا الأولى من نوعهما هذا العام. فمنذ مطلع 2026، أصلحت جوجل الآن 3 ثغرات يوم صفر مُستغلة فعلياً في متصفح كروم:

الثغرةالنوعتاريخ الإصلاح
CVE-2026-2441خلل في إبطال المُكرِّر في CSSFontFeatureValuesMapمنتصف فبراير 2026
CVE-2026-3909كتابة خارج الحدود في Skiaالإصدار الحالي
CVE-2026-3910تطبيق غير سليم في V8الإصدار الحالي

للمقارنة، أصلحت جوجل العام الماضي 8 ثغرات يوم صفر مُستغلة على مدار العام كامل. كثير من تلك الثغرات اكتشفها فريق تحليل التهديدات (Threat Analysis Group — TAG) التابع لجوجل، وهو فريق متخصص في رصد ثغرات يوم الصفر المُستخدمة في هجمات برمجيات التجسس (Spyware).

جوجل لم تُفصح عن تفاصيل الهجمات التي استغلت الثغرتين الجديدتين، مبرّرةً ذلك بالحاجة إلى منح المستخدمين وقتاً كافياً لتثبيت التحديث قبل نشر التفاصيل التقنية.

“قد يبقى الوصول إلى تفاصيل الثغرات والروابط مُقيَّداً حتى يحصل غالبية المستخدمين على التصحيح. سنُبقي القيود أيضاً إذا كانت الثغرة موجودة في مكتبة طرف ثالث تعتمد عليها مشاريع أخرى لم تُصدر إصلاحاً بعد.” — جوجل

جوجل تُكافئ الباحثين الأمنيين بأكثر من 17 مليون دولار

في السياق ذاته، كشفت جوجل يوم الخميس أنها دفعت أكثر من 17 مليون دولار لـ 747 باحثاً أمنياً أبلغوا عن ثغرات عبر برنامج مكافآت الثغرات (Vulnerability Reward Program — VRP) خلال عام 2025.

هذا الرقم يعكس حجم الاستثمار الذي تضخّه جوجل في أمان متصفح كروم ومنتجاتها الأخرى عبر التعاون مع مجتمع الباحثين الأمنيين المستقلين. برنامج مكافآت الثغرات يُحفّز الاكتشاف المسؤول للثغرات قبل أن يصل إليها المهاجمون.

لماذا يجب تحديث كروم الآن وليس لاحقاً؟

ما يجعل ثغرات كروم يوم الصفر هذه المرة أكثر إلحاحاً هو اجتماع عاملين: الاستغلال النشط المؤكد من جوجل، واستهداف مكونين جوهريين يُعالجان كل محتوى يعرضه المتصفح تقريباً. مكتبة Skia ترسم كل عنصر مرئي، ومحرك V8 يُشغّل كل شيفرة جافاسكربت — أي أن مجرد تصفّح صفحة ويب مُفخخة يكفي لتفعيل الاستغلال.

الاستجابة السريعة من جوجل — تصحيح خلال يومين — تعكس خطورة التهديد. لكن هذه السرعة تفقد قيمتها إن لم يُبادر المستخدمون بتحديث متصفحاتهم. افتح صفحة “حول كروم” الآن وتحقق من إصدارك — الأمر لا يستغرق أكثر من 30 ثانية.

هل حدّثت متصفح كروم بالفعل؟ وهل تلاحظ تكرار ثغرات يوم الصفر بوتيرة أعلى هذا العام؟ شاركنا ملاحظاتك في التعليقات.

أسئلة شائعة

ما هي ثغرات كروم يوم الصفر التي أصلحتها جوجل؟

أصلحت جوجل ثغرتين: CVE-2026-3909 وهي خلل كتابة خارج الحدود في مكتبة الرسوميات Skia، وCVE-2026-3910 وهي خلل في التطبيق داخل محرك V8. كلتاهما مُستغلتان في هجمات فعلية ومُصنّفتان بدرجة خطورة عالية.

كيف أُحدّث متصفح جوجل كروم للحماية من الثغرات؟

انتقل إلى القائمة ← مساعدة ← حول Google Chrome. سيبحث المتصفح تلقائياً عن التحديثات ويُنزّلها. بعد التنزيل، أعد تشغيل المتصفح لتفعيل الحماية. الإصدار المطلوب لنظام ويندوز هو 146.0.7680.75.

هل يمكن استغلال هذه الثغرات بمجرد زيارة موقع ويب؟

نعم، هذا هو السيناريو المرجّح. كلتا الثغرتين تُصيبان مكونات تُعالج محتوى الويب مباشرة (Skia للرسوميات وV8 للشيفرات البرمجية)، مما يعني أن زيارة صفحة خبيثة قد تكفي لتفعيل الاستغلال دون أي تفاعل إضافي من المستخدم.

كم عدد ثغرات يوم الصفر المُصلَحة في كروم منذ بداية 2026؟

بلغ العدد 3 ثغرات يوم صفر حتى الآن في 2026. الأولى (CVE-2026-2441) أُصلحت في منتصف فبراير، والثغرتان الجديدتان صدر تصحيحهما في التحديث الطارئ الحالي.

ما هو برنامج مكافآت الثغرات من جوجل وكم يدفع؟

هو برنامج Vulnerability Reward Program (VRP) تُكافئ فيه جوجل الباحثين الأمنيين الذين يُبلغون عن ثغرات بشكل مسؤول. في عام 2025، دفعت جوجل أكثر من 17 مليون دولار لـ 747 باحثاً أمنياً عبر هذا البرنامج.

📡 للمزيد من التغطيات اليومية، استكشف قسم الأخبار عبر موقعنا.

ابقَ دائماً في قلب الحدث التقني! 🔍
انضم الآن إلى نخبة متابعينا على تيليجرام و واتساب لتصلك أهم الأخبار والحصريات فور حدوثها! 💡

مقالات ذات صلة:

موسوم بـ:
شارك هذه المقالة
متابعة
تقني سامي في إدارة وأمن الشبكات المعلوماتية ، مطور ويب ومؤسس موقع MJB Tech Tips ، مهتم بمواضيع اﻷمن المعلوماتي وأنظمة لينكس.
PNFPB Install PWA using share icon

Install our app using add to home screen in browser. In phone/ipad browser, click on share icon in browser and select add to home screen in ios devices or add to dock in macos

إدارة الإخطارات

notification icon
اشترك للحصول على آخر أخبار وجديد عالم التقنية من تطبيقات إلى أحدث اﻷجهزة من مختلف الشركات الكبرى.
notification icon
أنت مشترك في الإخطارات
notification icon
اشترك للحصول على آخر أخبار وجديد عالم التقنية من تطبيقات إلى أحدث اﻷجهزة من مختلف الشركات الكبرى.
notification icon
أنت مشترك في الإخطارات