أصدرت شركة مايكروسوفت تحديثاتها الأمنية الشهرية ليوم الثلاثاء الثاني من يونيو 2026 (Patch Tuesday)، وشملت إصلاحات لما مجموعه 200 ثغرة أمنية في منتجاتها المختلفة، من بينها 33 ثغرة مصنّفة حرجة و3 ثغرات من نوع يوم الصفر (Zero-Day) تم الكشف عنها علنًا قبل توفر التصحيح الرسمي. الثغرات الثلاث — التي لم تُسجَّل لها أي محاولات استغلال فعلي حتى تاريخه — تشمل ثغرتين في نظام ويندوز وثغرة في مكون HTTP.sys.
تفصيل الثغرات حسب الفئة
صنّفت مايكروسوفت الثغرات الـ200 وفق الفئات الآتية:
| رفع الصلاحيات (Elevation of Privilege) | 65 |
| تنفيذ التعليمات البرمجية عن بُعد (Remote Code Execution) | 55 |
| الكشف عن المعلومات (Information Disclosure) | 30 |
| انتحال الهوية (Spoofing) | 27 |
| تجاوز ميزة أمان (Security Feature Bypass) | 19 |
| حجب الخدمة (Denial of Service) | 7 |
أما الثغرات الحرجة الـ33 فتنقسم بدورها إلى: 28 ثغرة تنفيذ تعليمات برمجية عن بُعد، و4 ثغرات رفع صلاحيات، وثغرة واحدة للكشف عن المعلومات.
ملاحظة مهمة: هذا العدد (200) يقتصر على الثغرات التي أصدرتها مايكروسوفت تحديدًا يوم الثلاثاء 09 يونيو 2026. ولا يشمل ثغرات أُصلحت في وقت سابق من الشهر في منتجات مثل Mariner وAzure HorizonDB وMicrosoft Copilot وExchange Online وMicrosoft Graph. كما لا يشمل 360 ثغرة في متصفح Microsoft Edge/Chromium عالجتها جوجل هذا الشهر.
أخطر الثغرات: ثلاث ثغرات يوم الصفر
ثغرة CVE-2026-45586 — GreenPlasma: رفع الصلاحيات عبر CTFMON
تكمُن هذه الثغرة في إطار الترجمة التعاوني في ويندوز (Windows Collaborative Translation Framework – CTFMON)، وتتيح لمهاجم يملك وصولًا محدودًا إلى الجهاز رفع صلاحياته إلى مستوى SYSTEM، وهو أعلى مستوى صلاحية في نظام ويندوز.
وصفت مايكروسوفت الخلل بأنه ناتج عن “حل غير صحيح للارتباط قبل الوصول إلى الملف” (Improper Link Resolution Before File Access)، وهو نمط من الثغرات يُعرف اصطلاحًا باسم “تتبّع الارتباط” (Link Following). الثغرة لا تتطلب تفاعلًا من المستخدم، وتصنيف تعقيد استغلالها متدنٍّ.
خلف الكواليس، يتضح أن هذه الثغرة هي إحدى ثغرات موجة الإفصاحات التي شنّها باحث أمني يحمل الاسم المستعار Nightmare Eclipse، وأطلق عليها اسمًا حركيًا هو GreenPlasma. بدأ الباحث نشر ثغرات يوم الصفر في أبريل 2026 احتجاجًا على ما وصفه بإخلال مايكروسوفت باتفاق سابق بينهما حول برنامج مكافآت الثغرات (Bug Bounty) وسياسة الإفصاح المسؤول.
ثغرة CVE-2026-49160 — هجوم HTTP/2 Bomb: حجب الخدمة عبر HTTP.sys
أصلحت مايكروسوفت ثغرة من نوع حجب الخدمة (Denial of Service) في مُكوِّن HTTP.sys المسؤول عن معالجة بروتوكول HTTP في ويندوز. الثغرة التي أُطلق عليها اسم HTTP/2 Bomb اكتشفها باحثان من شركة الأمن الهجومي Calif.io هما Quang Luong وCodex، ونُشرت تفاصيلها هذا الشهر.
يعتمد هجوم HTTP/2 Bomb على استغلال آلية ضغط وإدارة ترويسات بروتوكول HTTP/2، حيث يُرسل المهاجم حِزم بيانات صغيرة الحجم جدًا تجبر الخادم على تخصيص كميات هائلة من الذاكرة. الأسوأ من ذلك أن التلاعب بإعدادات التحكم بالتدفق (Flow Control) يُبقي الذاكرة محجوزة لفترات مطوّلة، مما قد يؤدي إلى تدهور الأداء أو انقطاع الخدمة بالكامل.
للتصدي لهذا الهجوم، أضافت مايكروسوفت إعداد تسجيل (Registry) جديدًا يُدعى MaxHeadersCount، يتيح للمسؤولين تحديد الحد الأقصى لعدد الترويسات المسموح بها في طلبات HTTP/2 وHTTP/3. يمكن الرجوع إلى النشرة الإرشادية KB5102602 للحصول على تعليمات التفعيل.
ثغرة CVE-2026-50507 — YellowKey: تجاوز تشفير BitLocker
ثالثة الثغرات المُفصَح عنها علنًا تستهدف تشفير BitLocker في ويندوز، وتتيح لمهاجم يملك وصولًا ماديًّا إلى الجهاز تجاوز الحماية والوصول إلى محتويات القرص المُشفَّر.
تكمن خطورة هذه الثغرة — التي تحمل الاسم الحركي YellowKey وهي الأخرى من اكتشافات الباحث Nightmare Eclipse — في أنها تضرب إحدى أهم طبقات الحماية في ويندوز، خصوصًا للأجهزة المحمولة التي تعتمد على تشفير BitLocker لحماية البيانات في حال السرقة أو الفقدان.
آلية الاستغلال تتطلب وضع ملفات مُعدّة خصيصًا على وحدة تخزين USB أو على قسم EFI في الجهاز المستهدف، ثم الإقلاع إلى بيئة استرداد ويندوز (Windows Recovery Environment – WinRE). عندئذٍ، يؤدي الضغط المطوَّل على مفتاح CTRL إلى تشغيل واجهة أوامر (Command Shell) بنفاذ غير مقيَّد إلى محتويات القرص المُشفَّر.
تؤثر الثغرة أساسًا على الأجهزة التي تستخدم حماية BitLocker المعتمدة على شريحة TPM فقط في أنظمة Windows 11 وWindows Server 2022/2025. وكانت مايكروسوفت قد أصدرت سابقًا إجراءً احترازيًا مؤقتًا يوصي بتفعيل المصادقة الثنائية TPM+PIN بدل الاعتماد على شريحة TPM وحدها.
من هو الباحث Nightmare Eclipse؟
الباحث الذي يقف وراء ثغرتَي GreenPlasma وYellowKey ليس اسمًا عابرًا في أوساط الأمن السيبراني هذا العام. فمنذ أبريل 2026، أطلق Nightmare Eclipse — وهو اسم مستعار لا تزال هويته الحقيقية مجهولة — موجة من الإفصاحات العلنية لثغرات خطيرة في أنظمة ويندوز، ناشرًا معها الشيفرات البرهانية (Proof of Concept) التي تثبت إمكانية استغلالها [4][5].
حملت الثغرات الست التي كشف عنها الباحث أسماءً حركية لافتة:
| BlueHammer | CVE-2026-33825 | Windows Defender | عولجت في أبريل 2026 |
| RedSun | غير معلن | Windows Defender | استُغلّت فعليًا |
| UnDefend | غير معلن | Windows Defender | استُغلّت فعليًا |
| GreenPlasma | CVE-2026-45586 | Windows CTFMON | عولجت في يونيو 2026 |
| YellowKey | CVE-2026-50507 | Windows BitLocker | عولجت في يونيو 2026 |
| MiniPlasma | CVE-2020-17103 (معاد) | Windows | عولجت في يونيو 2026 |
الجدير بالذكر أن MiniPlasma تبيّن أنها إعادة إصدار لثغرة سابقة (CVE-2020-17103) عالجتها مايكروسوفت قبل ست سنوات، مما يعني أن التصحيح الأصلي كان غير مكتمل وعادت الثغرة للظهور لاحقًا في إصدارات أحدث من ويندوز [5].
توترت العلاقة بين Nightmare Eclipse ومايكروسوفت إلى درجة أن الشركة حظرته من منصة GitHub في أواخر مايو 2026، وتبعتها منصة GitLab بعد أيام. كما أصدرت مايكروسوفت بيانًا يدعو إلى “الإفصاح المنسّق عن الثغرات” وألمحت إلى إجراءات قانونية محتملة — لكنها لم تُعلن عن خطوات محددة في هذا الاتجاه [4][5].
وبعد ساعات فقط من إصدار تحديثات Patch Tuesday ليوم 10 يونيو 2026، نشر Nightmare Eclipse ثغرة جديدة أطلق عليها اسم RoguePlanet، تستهدف أيضًا Windows Defender وتمنح المهاجم صلاحيات SYSTEM. هذا يعني أن القصة لم تنته بعد، وقد نشهد المزيد من الإفصاحات في الأسابيع المقبلة [2].
منتجات متأثرة بالتحديثات
شملت تحديثات يونيو 2026 نطاقًا واسعًا من منتجات مايكروسوفت، أبرزها [1][3]:
- أنظمة التشغيل: Windows 11 (بإصداراته كافة)، Windows 10، Windows Server 2022/2025
- حزمة الإنتاجية: Microsoft Office (إصدارات متعددة)
- البريد والتعاون: Microsoft Exchange Server
- السحابة والتطوير: Azure (عدة خدمات)، .NET، Visual Studio
- الأمان والهوية: Microsoft Defender، Windows BitLocker
- المتصفح: Microsoft Edge (بالتزامن مع تحديثات Chromium من جوجل)
أهم التحديثات التراكمية لويندوز:
- Windows 11: KB5094126 وKB5093998
- Windows 10: KB5094127 (تحديث الأمان الممتد Extended Security Update)
جدول زمني: ثغرات يوم الصفر في ويندوز خلال 2026
لمنظور أوسع، إليك الجدول الزمني لثغرات يوم الصفر التي عالجتها مايكروسوفت منذ بداية 2026 [1][4]:
| أبريل | BlueHammer | CVE-2026-33825 | رفع صلاحيات (Windows Defender) |
| مايو | RedSun | — | ثغرة في Windows Defender |
| مايو | UnDefend | — | ثغرة في Windows Defender |
| يونيو | GreenPlasma | CVE-2026-45586 | رفع صلاحيات (CTFMON) |
| يونيو | HTTP/2 Bomb | CVE-2026-49160 | حجب خدمة (HTTP.sys) |
| يونيو | YellowKey | CVE-2026-50507 | تجاوز BitLocker |
| يونيو | MiniPlasma | CVE-2020-17103 | إعادة إصدار — رفع صلاحيات |
الأسئلة الشائعة (FAQ)
هو اليوم الذي تُصدر فيه مايكروسوفت تحديثاتها الأمنية الشهرية المجمّعة، ويحلّ في ثاني ثلاثاء من كل شهر ميلادي. يُعرف في أوساط تقنية المعلومات باسم “الثلاثاء المرقّع” لأنه اليوم الذي تُطبَّق فيه الرُقع (Patches) على الأنظمة. جميع التحديثات الصادرة في هذا اليوم تراكمية، أي أنها تشمل إصلاحات الأشهر السابقة أيضًا.
لا — وفقًا لتصريح مايكروسوفت الرسمي، لم تُرصد أي محاولات استغلال فعلي لأي من الثغرات الثلاث (CVE-2026-45586 وCVE-2026-49160 وCVE-2026-50507) حتى تاريخ إصدار التصحيح. لكن الشركة صنّفت 13 ثغرة في هذا التحديث ضمن فئة “استغلالها مرجّح”، مما يستوجب الترقية العاجلة.
طبِّق آخر تحديثات ويندوز فورًا. للخوادم التي تعتمد على HTTP.sys، توصي مايكروسوفت بتفعيل إعداد MaxHeadersCount الجديد في سجل النظام (Registry) للحد من عدد الترويسات المسموح بها في طلبات HTTP/2 وHTTP/3. يمكنك الاطلاع على دليل التفعيل الكامل في النشرة رقم KB5102602 على موقع دعم مايكروسوفت.
إذا كان جهازك يعمل بنظام Windows 11 أو Windows Server 2022/2025 ويستخدم تشفير BitLocker المعتمد على شريحة TPM فقط (دون رقم سرّي PIN إضافي)، فنعم — جهازك مُعرَّض نظريًا. طبِّق التحديث فورًا. كإجراء وقائي إضافي، فعِّل مصادقة TPM+PIN التي تجمع بين شريحة TPM ورقم سرّي يُدخله المستخدم عند الإقلاع.
باحث أمني بهوية مجهولة، بدأ منذ أبريل 2026 نشر ثغرات خطيرة في أنظمة ويندوز مرفقة بشيفرات برهانية، احتجاجًا على تعامل مايكروسوفت مع برنامج مكافآت الثغرات. أطلق على ثغراته أسماءً حركية مثل BlueHammer وRedSun وYellowKey وGreenPlasma. بعضها استُغل فعليًا في هجمات سيبرانية. حظرته مايكروسوفت من GitHub في مايو 2026 ولا يزال ينشر ثغرات جديدة حتى يونيو 2026.
ماذا تفعل الآن؟
التحديثات الأمنية الصادرة في Patch Tuesday لي يونيو 2026 ليست تحديثات عابرة. وجود 33 ثغرة حرجة — 28 منها تتيح تنفيذ تعليمات برمجية عن بُعد — و13 ثغرة عالية الاحتمالية للاستغلال، يجعل التأجيل خيارًا محفوفًا بالمخاطر.
إن كنت مسؤول أنظمة، فالأولوية الآن هي:
- نشر التحديثات على الخوادم أولًا، ثم أجهزة المستخدمين.
- تفعيل MaxHeadersCount على خوادم الويب التي تعتمد على HTTP.sys.
- مراجعة إعدادات BitLocker والتحول إلى مصادقة TPM+PIN حيثما أمكن.
- متابعة إصدارات Nightmare Eclipse الجديدة تحسبًا لثغرات لم تُعالج بعد.
وإن كنت مستخدمًا منزليًا، فالخطوة الأبسط والأهم: افتح Windows Update واضغط “التحقق من التحديثات”، ثم ثبّت كل ما يظهر.
📡 للمزيد من التغطيات اليومية، استكشف قسم الأخبار عبر موقعنا.
ابقَ دائماً في قلب الحدث التقني! 🔍
انضم الآن إلى نخبة متابعينا على تيليجرام و واتساب لتصلك أهم الأخبار والحصريات فور حدوثها! 💡
