أصدرت جوجل تحديثًا أمنيًا طارئًا لمتصفح كروم لمعالجة ثغرة كروم يوم الصفر CVE-2026-11645، وهي ثغرة عالية الخطورة استُغلت فعليًا في هجمات حية قبل توفر التصحيح. هذه الثغرة هي الخامسة من نوع “يوم الصفر” التي تعالجها جوجل في متصفحها منذ بداية عام 2026.
تتمثل الثغرة في خلل من نوع القراءة والكتابة خارج النطاق (Out-of-Bounds Read and Write) في محرك V8 JavaScript داخل متصفح كروم. وبحسب التحذير الأمني الذي نشرته جوجل في 8 يونيو 2026، يمكن لمهاجم عن بُعد استغلال الثغرة عبر صفحة HTML مصممة خصيصًا لتنفيذ تعليمات برمجية عشوائية داخل بيئة Sandbox الخاصة بالمتصفح.
ما الذي يجعل هذه الثغرة خطيرة؟
ثغرة CVE-2026-11645 حصلت على تصنيف خطورة مرتفع قدره 8.8 وفق مقياس CVSS، وهو ما يعني أنها تشكل خطرًا حقيقيًا يستوجب التحديث الفوري. لا تقتصر خطورتها على تنفيذ التعليمات البرمجية فحسب، بل تمتد إلى قدرتها على الوصول إلى بيانات خارج نطاق الذاكرة المخصصة عبر تلف الكومة (Heap Corruption)، مما قد يكشف معلومات حساسة أو يتسبب في انهيار المتصفح.
والأخطر من ذلك أن الثغرة قادرة على تجاوز آليات الحماية مثل تقنية ASLR (توزيع مساحة العنوان عشوائيًا)، مما يسهل على المهاجم تحقيق تنفيذ التعليمات البرمجية عبر ثغرة أخرى مساعدة.
قد تتساءل: كيف أعرف إن كان متصفحي معرضًا للخطر؟ أي إصدار من كروم أقدم من 149.0.7827.103 على أنظمة Mac، وأقدم من 149.0.7827.102 على أنظمة Windows وLinux، يُعد عرضة للاستغلال.
الإصدارات المصححة: هل متصفحك آمن؟
أطلقت جوجل التحديث للمستخدمين في قناة سطح المكتب المستقرة (Stable Desktop) بالإصدارات الآتية:
| Windows | 149.0.7827.102 |
| Mac | 149.0.7827.103 |
| Linux | 149.0.7827.102 |
أكدت جوجل أن عملية طرح التحديث لجميع المستخدمين قد تستغرق أيامًا أو أسابيع، إلا أن التحديث كان متاحًا فورًا لكثير من المستخدمين عند التحقق منه يدويًا.
من يقف وراء اكتشاف الثغرة؟
اكتُشفت الثغرة وأُبلغ عنها من قبل باحث أمني يحمل المعرف “303f06e3” في 27 أبريل 2026، وهو باحث سبق له الإبلاغ عن ثغرات أخرى في كروم. منحته جوجل مكافأة قدرها 55,000 دولار ضمن برنامج مكافآت اكتشاف الثغرات (Google Bug Bounty) نظير إبلاغه المسؤول عن الثغرة.
ورغم تأكيد جوجل وجود استغلال فعلي للثغرة، إلا أن الشركة لم تُفصح بعد عن تفاصيل إضافية حول هذه الهجمات. وبررت ذلك بقولها: “قد يبقى الوصول إلى تفاصيل الثغرة مقيدًا إلى أن يحصل غالبية المستخدمين على التصحيح. وسنحتفظ بالقيود أيضًا إذا كانت الثغرة موجودة في مكتبة خارجية تعتمد عليها مشاريع أخرى لم تُصحح بعد”.
كيف تحدث متصفح كروم يدويًا؟
لضمان حصولك على الحماية فورًا بدل انتظار التحديث التلقائي، اتبع الخطوات الآتية:
- افتح قائمة النقاط الثلاث أعلى يمين المتصفح.
- اختر “مساعدة” ثم “حول Google Chrome”.
- سيبحث المتصفح تلقائيًا عن التحديثات ويبدأ التحميل إن وجدت.
- بعد اكتمال التثبيت، اضغط “إعادة التشغيل” لتفعيل الحماية.
يمكن للمستخدمين الذين يفضلون عدم التحديث اليدوي الاعتماد على ميزة التحديث التلقائي في كروم، التي تتحقق من التحديثات وتثبتها عند إعادة تشغيل المتصفح لاحقًا.
ثغرات يوم الصفر في كروم خلال 2026: صورة أوسع
ثغرة CVE-2026-11645 هي الثغرة الخامسة من نوع “يوم الصفر” التي تُعالج في كروم منذ بداية 2026. وفيما يأتي ملخص للثغرات السابقة التي استُهدفت في هجمات حية:
| فبراير 2026 | CVE-2026-2441 | CSSFontFeatureValuesMap | خلل في إبطال المُكرّر |
| مارس 2026 | CVE-2026-3909 | مكتبة Skia للرسوميات | كتابة خارج النطاق |
| مارس 2026 | CVE-2026-3910 | محرك V8 | تنفيذ غير ملائم |
| أبريل 2026 | CVE-2026-5281 | مكتبة Dawn (WebGPU) | استخدام بعد التحرير |
| يونيو 2026 | CVE-2026-11645 | محرك V8 | قراءة وكتابة خارج النطاق |
للمقارنة، عالجت جوجل خلال عام 2025 ثماني ثغرات من نوع “يوم الصفر” استُغلت في هجمات حية، كثير منها اكتشفه فريق تحليل التهديدات (TAG) التابع للشركة، وهو فريق متخصص في رصد وتتبع ثغرات يوم الصفر المستخدمة في هجمات برامج التجسس.
ما الفرق بين ثغرة يوم الصفر والثغرة العادية؟
ثغرة “يوم الصفر” (Zero-Day) هي ثغرة أمنية تكتشفها جهات مهاجمة وتستغلها فعليًا قبل أن يعلم بها مطور البرنامج أو قبل أن يتمكن من إصدار تصحيح لها. هذا ما يميزها عن الثغرات العادية التي تُكتشف داخليًا أو عبر برامج المكافآت وتُصحح قبل أن تُستغل. في حالة CVE-2026-11645، كان الاستغلال قائمًا بالفعل لحظة إصدار التصحيح، مما يجعل التحديث الفوري ضرورة لا ترفًا.
كيف تحمي متصفحك من الثغرات مستقبلًا؟
بالإضافة إلى التحديث الفوري لهذه الثغرة تحديدًا، ثمة ممارسات عامة تقلل خطر التعرض لثغرات المتصفح:
- فعّل التحديث التلقائي في إعدادات كروم لتلقي التصحيحات فور طرحها.
- قلل عدد الإضافات المثبتة في المتصفح؛ فكل إضافة تمثل سطح هجوم إضافيًا محتملًا.
- تجنب فتح الروابط الواردة من مصادر غير موثوقة، خاصة في رسائل البريد الإلكتروني.
- استخدم وضع الحماية المعزز (Enhanced Protection) في إعدادات الأمان في كروم، والذي يوفر حماية استباقية ضد المواقع الخطرة.
📡 للمزيد من التغطيات اليومية، استكشف قسم الأخبار عبر موقعنا.
ابقَ دائماً في قلب الحدث التقني! 🔍
انضم الآن إلى نخبة متابعينا على تيليجرام و واتساب لتصلك أهم الأخبار والحصريات فور حدوثها! 💡
