ثغرة أمنية في متصفح كروم (CVE-2026-11645)
أصدرت جوجل تحديثات أمنية طارئة لمعالجة ثغرة أمنية جديدة في متصفح كروم، والتي يتم استغلالها بشكل نشط. وتُعدّ هذه الثغرة، التي تحمل الرقم CVE-2026-11645، خامس ثغرة أمنية من نوع "يوم الصفر" في متصفح كروم تُصلحها الشركة منذ بداية عام 2026.
بحسب جوجل، تؤكد الأدلة أن ثغرة أمنية تستغل هذه الثغرة تُستخدم بالفعل في هجمات حقيقية. وقد تم الإبلاغ عن المشكلة للشركة بشكل مجهول، وتم نشر حل لها لاحقًا عبر قناة سطح المكتب المستقر.
يجري حاليًا طرح نسخ مُحدثة عالميًا لأنظمة ويندوز (149.0.7827.102)، وماك أو إس (149.0.7827.103)، ولينكس (149.0.7827.102). مع ذلك، قد تستغرق عملية التحديث عدة أيام أو حتى أسابيع قبل أن تصل إلى جميع مستخدمي متصفح كروم.
بالنسبة لأولئك الذين لا يقومون بتثبيت التحديثات يدويًا، تم تصميم متصفح Chrome للتحقق تلقائيًا من وجود إصلاحات أمنية متاحة وتطبيقها أثناء تشغيل المتصفح التالي.
جدول المحتويات
داخل CVE-2026-11645: عيب خطير في محرك V8
تنشأ هذه الثغرة الأمنية الخطيرة من خلل في قراءة وكتابة البيانات خارج النطاق المسموح به في محرك جافا سكريبت V8 الخاص بمتصفح كروم. ويمكن للمهاجمين استغلال هذا الخلل من خلال صفحات HTML مصممة خصيصًا، مما قد يُمكّنهم من تنفيذ تعليمات برمجية ضارة داخل بيئة الحماية الخاصة بالمتصفح.
قد يؤدي الاستغلال الناجح إلى تلف الذاكرة المخصصة، مما يسمح للمهاجمين بالوصول إلى الذاكرة خارج النطاق المسموح به. قد يكشف هذا السلوك معلومات حساسة، أو يتسبب في تعطل المتصفح، أو يسهل أنشطة خبيثة أخرى.
إلى جانب الوصول غير المصرح به إلى الذاكرة، يمكن أيضًا استغلال هذه الثغرة الأمنية لتجاوز إجراءات الحماية الأمنية مثل عشوائية تخطيط مساحة العناوين (ASLR)، مما يزيد من احتمالية تنفيذ التعليمات البرمجية عند دمجها مع نقاط ضعف أخرى.
إفصاح محدود لحماية المستخدمين
رغم اعتراف جوجل باستغلال الثغرة الأمنية، إلا أنها لم تكشف بعد عن التفاصيل التقنية المتعلقة بالهجمات. وقد يبقى الوصول إلى معلومات الثغرة والموارد ذات الصلة مقيدًا إلى حين تثبيت نسبة كبيرة من مستخدمي متصفح كروم للتحديث الأمني.
قد تستمر القيود أيضًا إذا كان الكود المتأثر موجودًا داخل مكتبات خارجية تستخدمها مشاريع أخرى ولم تقم بعد بتنفيذ إصلاحاتها الخاصة.
قائمة متزايدة من التهديدات غير المعروفة في عام 2026
ينضم CVE-2026-11645 إلى العديد من الثغرات الأمنية الأخرى في متصفح Chrome التي تم استغلالها بنشاط هذا العام:
- CVE-2026-2441 – ثغرة أمنية في CSSFontFeatureValuesMap تتعلق بإبطال المكرر، وقد تم إصلاحها في فبراير.
- CVE-2026-3909 – ثغرة كتابة خارج النطاق في مكتبة الرسومات ثنائية الأبعاد Skia، تم استغلالها في مارس.
- CVE-2026-3910 – ثغرة أمنية في التنفيذ غير المناسب تؤثر على محرك V8 JavaScript و WebAssembly، وقد تم استغلالها أيضًا في مارس.
- CVE-2026-5281 – ثغرة أمنية من نوع "استخدام بعد التحرير" في Dawn، وهو تطبيق WebGPU متعدد المنصات لمتصفح Chromium، تم إصلاحها في أبريل.
معركة كروم المستمرة ضد ثغرات اليوم الصفر
يُسلّط آخر تحديث طارئ الضوء على التهديد المستمر الذي تُشكّله ثغرات اليوم الصفر التي تستهدف متصفحات الويب الحديثة. خلال عام 2025، عالجت جوجل ثماني ثغرات إضافية من نوع اليوم الصفر في متصفح كروم، والتي تم استغلالها في عمليات حقيقية. وقد حدّد فريق تحليل التهديدات (TAG) التابع لجوجل، وهو فريق متخصص معروف بتتبع عمليات التجسس الإلكتروني المعقدة وحملات برامج التجسس، العديد من هذه الثغرات.
إن استمرار اكتشاف الثغرات التي يتم استغلالها بنشاط يؤكد أهمية تحديثات المتصفح في الوقت المناسب ومعالجة الثغرات الأمنية بسرعة في حماية المستخدمين من التهديدات الإلكترونية المتطورة.
