أطلقت شركة Microsoft إصلاحاً أمنياً رسمياً لمعالجة ثغرة عالية الخطورة (CVE-2026-58281 بتقييم CVSS عند 8.3) في متصفح Microsoft Edge المبني على مشروع Chromium مفتوح المصدر.
تندرج هذه الثغرة ضمن فئة CWE-502 والمعروفة بمصطلح Deserialization of Untrusted Data؛ وهو نمط برمجي خطير يعتمد فيه استغلال الثغرة على تمرير كائنات أو بيانات متسلسلة خبيثة إلى المتصفح، ليقوم الأخير بمعالجتها وتشغيلها دون التحقق من سلامتها، ما يمنح المهاجمين القدرة على تنفيذ تعليمات برمجية عشوائية عن بُعد (RCE) والاستحواذ الكامل على الجهاز المضيف.
نجاح الاستغلال الفعلي للثغرة محكوم بشروط تقنية معقدة؛ إذ يتطلب شن الهجوم عبر الشبكة وبمستوى تعقيد مرتفع، مع ضرورة وجود تفاعل مباشر من المستخدم، مثل استدراجه عبر أساليب الهندسة الاجتماعية لزيارة موقع ويب مفخخ أو تشغيل ملف ملوث. ومع ذلك، يؤدي نجاح الاختراق إلى تجاوز نطاق الحماية المعزولة للمتصفح مهدداً ركائز السرية والنزاهة وتوافر الخدمة، وإن كان التقييم الحالي يشير إلى أن الثغرة لم تُستغل في بيئات فعلية حتى الآن.
غموض حول الإصدارات المتأثرة
في إجراء غير معتاد ضمن الإفصاحات الأمنية، لم تحدد Microsoft بدقة أرقام إصدارات المتصفح المتأثرة؛ حيث أظهرت قاعدة بيانات الثغرات رقم الإصدار 1.0.0.0، وهو معرف افتراضي خاص بحزمة NuGet وليس رقم إصدار فعلي للمتصفح. وبينت التحليلات التقنية أن هذا الرقم ما هو إلا أثر ناتج عن عمليات تعبئة الحزم البرمجية ولا يعبر عن الإصدارات المشغلة في البيئات الحقيقية، ما أبقى قنوات التحديث ونظم التشغيل المتأثرة بدقة غير معلنة رسمياً.
ورغم هذا الغموض، سارعت Microsoft إلى دمج العلاج ضمن حزم دعمها الدورية؛ حيث أصدرت في 9 يوليو 2026 الإصدار رقم 150.0.4078.65 للمتصفح، مدمجاً بأحدث تصحيحات Chromium الأمنية، ما يرجح احتواء هذا الإصدار على العلاج النهائي للثغرة أو تضمينه في الحزم التصحيحية التالية مباشرة.
سياق التهديدات المستمرة وتوصيات الحماية
تكتسب هذه الثغرة أهمية مضاعفة بالنظر إلى سجل التهديدات الأخيرة التي استهدفت متصفح Microsoft Edge؛ ففي يونيو 2026، عالجت الشركة ثغرة حرجة أخرى تحمل المعرف CVE-2026-11645 جرى استغلالها في هجمات نشطة.
بناء على ذلك، تحث Microsoft كافة المستخدمين ومدراء الأنظمة في البيئات المؤسسية على اتخاذ الإجراءات التالية:
- تثبيت التحديثات فوراً عبر ميزة التحديث التلقائي المدمجة في المتصفح، أو سحب النسخ التجارية المخصصة للمؤسسات.
- يجب على مسؤولي الأنظمة إطلاق حملات ترقية يدوية عاجلة إذا كانت البيئات تُدار مركزياً وتمنع التحديث التلقائي.
- تنشيط خيارات التحديث الآلي وعدم انتظار صدور تفاصيل تقنية إضافية، نظراً لأن المدة الزمنية الفاصلة بين الكشف عن الثغرات وبدء استغلالها الفعلي تصبح أقصر باستمرار.
ويمكن للمتخصصين ومسؤولي الأمن استعراض التحديثات المستمرة والتفاصيل الكاملة للإصلاح الأمني عبر الرابط الرسمي لـ MSRC، حيث يُتوقع إدراج بيانات توضيحية أشمل حول الإصدارات بمجرد تحديث سجلات قاعدة بيانات CVE الرسمية.






