أصدرت جوجل تحديثات أمنية طارئة لمتصفح جوجل كروم لسد ثغرات كروم يوم الصفر عالية الخطورة التي تعرّض المستخدمين لمخاطر حقيقية. الشركة أكدت في نشرة أمنية نُشرت يوم الخميس أن استغلالات فعلية لكلتا الثغرتين موجودة ونشطة، مما يجعل تحديث المتصفح أمراً عاجلاً لجميع المستخدمين على أنظمة ويندوز وmacOS ولينكس.
“جوجل على علم بوجود استغلالات لكلٍّ من CVE-2026-3909 وCVE-2026-3910 في البيئة الفعلية.” — جوجل، النشرة الأمنية
تفاصيل ثغرتي يوم الصفر في متصفح كروم
تتفاوت الثغرتان في طبيعتهما التقنية، لكنهما تشتركان في درجة الخطورة العالية وفي كونهما مُستغلتين فعلياً. فيما يلي تفصيل لكل منهما.
الثغرة الأولى: كتابة خارج الحدود في مكتبة Skia (CVE-2026-3909)
تنبع الثغرة الأولى من خلل من نوع الكتابة خارج حدود المصفوفة (Out-of-Bounds Write) في مكتبة Skia، وهي مكتبة رسوميات ثنائية الأبعاد مفتوحة المصدر تتولى عرض محتوى الويب وعناصر واجهة المستخدم في كروم.
يمكن للمهاجمين استغلال هذا الخلل لتحقيق أحد سيناريوهين:
- إيقاف المتصفح عن العمل (Crash) بشكل مفاجئ.
- تنفيذ تعليمات برمجية خبيثة على جهاز الضحية، وهو السيناريو الأخطر.
ثغرات الكتابة خارج الحدود تُصنَّف عادةً ضمن الفئة الأعلى خطورة، لأنها تمنح المهاجم القدرة على الكتابة في مناطق عشوائية من الذاكرة، مما قد يُفضي إلى السيطرة على تدفق تنفيذ البرنامج.
الثغرة الثانية: تطبيق غير سليم في محرك V8 (CVE-2026-3910)
الثغرة الثانية توصف بأنها خلل في التطبيق غير السليم (Inappropriate Implementation) داخل محرك V8، وهو المحرك الذي يتولى تشغيل جافاسكربت (JavaScript) وويب أسمبلي (WebAssembly) في متصفح كروم.
محرك V8 يُعدّ من أكثر المكونات حساسية في المتصفح، إذ يُعالج الشيفرات البرمجية من ملايين المواقع يومياً. أي ثغرة فيه تفتح الباب أمام هجمات واسعة النطاق تستهدف المستخدمين بمجرد زيارتهم لصفحة ويب خبيثة.
💡 نصيحة خبير: محرك V8 ومكتبة Skia من أكثر مكونات كروم استهدافاً من قبل المهاجمين المتقدمين، نظراً لكونهما يُعالجان مدخلات غير موثوقة مباشرة من الويب. إذا كنت تُدير أنظمة مؤسسية، تأكد من أن سياسات التحديث التلقائي للمتصفح مُفعَّلة ولا تخضع لتأخير يدوي.
إصدارات التحديث المتاحة وسرعة الاستجابة
تعاملت جوجل مع هاتين الثغرتين بسرعة لافتة، إذ اكتشفت الخللين داخلياً وأصدرت التصحيح خلال يومين فقط من تسجيلهما. التحديثات الجديدة متاحة الآن عبر قناة الإصدار المستقر (Stable Desktop Channel) للأنظمة الثلاثة الرئيسية:
| نظام التشغيل | رقم الإصدار المُحدَّث |
|---|---|
| ويندوز | 146.0.7680.75 |
| macOS | 146.0.7680.76 |
| لينكس | 146.0.7680.75 |
أشارت جوجل إلى أن التحديث خارج الجدول المعتاد (Out-of-Band Update) قد يستغرق أياماً أو أسابيع للوصول إلى جميع المستخدمين تلقائياً. لكن عملياً، كان التحديث متاحاً فوراً عند التحقق يدوياً وفقاً لما أكده موقع BleepingComputer.
كيفية تحديث متصفح كروم فوراً للحماية من ثغرات يوم الصفر
لا تنتظر وصول التحديث التلقائي. يمكنك التحقق يدوياً وتثبيت التصحيح بخطوات بسيطة:
- افتح متصفح كروم على جهازك.
- انقر على القائمة (النقاط الثلاث) في الزاوية العلوية.
- انتقل إلى مساعدة ← حول Google Chrome.
- سيبدأ المتصفح تلقائياً بالبحث عن التحديثات وتنزيلها.
- بعد اكتمال التنزيل، انقر على إعادة التشغيل لتفعيل التحديث.
بدلاً من ذلك، يمكنك تفعيل خيار التحديث التلقائي ليتولى المتصفح تثبيت التصحيحات الأمنية عند كل إغلاق وإعادة فتح.
💡 نصيحة خبير: مجرد تنزيل التحديث لا يكفي لتفعيل الحماية — يجب إعادة تشغيل المتصفح بالكامل. إذا كنت من المستخدمين الذين يتركون المتصفح مفتوحاً لأيام متواصلة بعشرات التبويبات، فأنت على الأرجح لا تزال تعمل بإصدار قديم حتى بعد تنزيل التحديث.
السياق الأوسع: ثغرات كروم يوم الصفر في 2026
هاتان الثغرتان ليستا الأولى من نوعهما هذا العام. فمنذ مطلع 2026، أصلحت جوجل الآن 3 ثغرات يوم صفر مُستغلة فعلياً في متصفح كروم:
| الثغرة | النوع | تاريخ الإصلاح |
|---|---|---|
| CVE-2026-2441 | خلل في إبطال المُكرِّر في CSSFontFeatureValuesMap | منتصف فبراير 2026 |
| CVE-2026-3909 | كتابة خارج الحدود في Skia | الإصدار الحالي |
| CVE-2026-3910 | تطبيق غير سليم في V8 | الإصدار الحالي |
للمقارنة، أصلحت جوجل العام الماضي 8 ثغرات يوم صفر مُستغلة على مدار العام كامل. كثير من تلك الثغرات اكتشفها فريق تحليل التهديدات (Threat Analysis Group — TAG) التابع لجوجل، وهو فريق متخصص في رصد ثغرات يوم الصفر المُستخدمة في هجمات برمجيات التجسس (Spyware).
جوجل لم تُفصح عن تفاصيل الهجمات التي استغلت الثغرتين الجديدتين، مبرّرةً ذلك بالحاجة إلى منح المستخدمين وقتاً كافياً لتثبيت التحديث قبل نشر التفاصيل التقنية.
“قد يبقى الوصول إلى تفاصيل الثغرات والروابط مُقيَّداً حتى يحصل غالبية المستخدمين على التصحيح. سنُبقي القيود أيضاً إذا كانت الثغرة موجودة في مكتبة طرف ثالث تعتمد عليها مشاريع أخرى لم تُصدر إصلاحاً بعد.” — جوجل
جوجل تُكافئ الباحثين الأمنيين بأكثر من 17 مليون دولار
في السياق ذاته، كشفت جوجل يوم الخميس أنها دفعت أكثر من 17 مليون دولار لـ 747 باحثاً أمنياً أبلغوا عن ثغرات عبر برنامج مكافآت الثغرات (Vulnerability Reward Program — VRP) خلال عام 2025.
هذا الرقم يعكس حجم الاستثمار الذي تضخّه جوجل في أمان متصفح كروم ومنتجاتها الأخرى عبر التعاون مع مجتمع الباحثين الأمنيين المستقلين. برنامج مكافآت الثغرات يُحفّز الاكتشاف المسؤول للثغرات قبل أن يصل إليها المهاجمون.
لماذا يجب تحديث كروم الآن وليس لاحقاً؟
ما يجعل ثغرات كروم يوم الصفر هذه المرة أكثر إلحاحاً هو اجتماع عاملين: الاستغلال النشط المؤكد من جوجل، واستهداف مكونين جوهريين يُعالجان كل محتوى يعرضه المتصفح تقريباً. مكتبة Skia ترسم كل عنصر مرئي، ومحرك V8 يُشغّل كل شيفرة جافاسكربت — أي أن مجرد تصفّح صفحة ويب مُفخخة يكفي لتفعيل الاستغلال.
الاستجابة السريعة من جوجل — تصحيح خلال يومين — تعكس خطورة التهديد. لكن هذه السرعة تفقد قيمتها إن لم يُبادر المستخدمون بتحديث متصفحاتهم. افتح صفحة “حول كروم” الآن وتحقق من إصدارك — الأمر لا يستغرق أكثر من 30 ثانية.
هل حدّثت متصفح كروم بالفعل؟ وهل تلاحظ تكرار ثغرات يوم الصفر بوتيرة أعلى هذا العام؟ شاركنا ملاحظاتك في التعليقات.
أسئلة شائعة
أصلحت جوجل ثغرتين: CVE-2026-3909 وهي خلل كتابة خارج الحدود في مكتبة الرسوميات Skia، وCVE-2026-3910 وهي خلل في التطبيق داخل محرك V8. كلتاهما مُستغلتان في هجمات فعلية ومُصنّفتان بدرجة خطورة عالية.
انتقل إلى القائمة ← مساعدة ← حول Google Chrome. سيبحث المتصفح تلقائياً عن التحديثات ويُنزّلها. بعد التنزيل، أعد تشغيل المتصفح لتفعيل الحماية. الإصدار المطلوب لنظام ويندوز هو 146.0.7680.75.
نعم، هذا هو السيناريو المرجّح. كلتا الثغرتين تُصيبان مكونات تُعالج محتوى الويب مباشرة (Skia للرسوميات وV8 للشيفرات البرمجية)، مما يعني أن زيارة صفحة خبيثة قد تكفي لتفعيل الاستغلال دون أي تفاعل إضافي من المستخدم.
بلغ العدد 3 ثغرات يوم صفر حتى الآن في 2026. الأولى (CVE-2026-2441) أُصلحت في منتصف فبراير، والثغرتان الجديدتان صدر تصحيحهما في التحديث الطارئ الحالي.
هو برنامج Vulnerability Reward Program (VRP) تُكافئ فيه جوجل الباحثين الأمنيين الذين يُبلغون عن ثغرات بشكل مسؤول. في عام 2025، دفعت جوجل أكثر من 17 مليون دولار لـ 747 باحثاً أمنياً عبر هذا البرنامج.
📡 للمزيد من التغطيات اليومية، استكشف قسم الأخبار عبر موقعنا.
ابقَ دائماً في قلب الحدث التقني! 🔍
انضم الآن إلى نخبة متابعينا على تيليجرام و واتساب لتصلك أهم الأخبار والحصريات فور حدوثها! 💡

