ثغرات أمنية

معالجة ثغرة حرجة مستغلة في Chrome ضمن تحديث أمني واسع

تحديث Chrome الجديد يعالج ثغرة صفرية في V8 استغلت فعليا، مع دعوة المستخدمين لتثبيته فورا.

تم النشر في يونيو. 10, 2026

معالجة ثغرة حرجة مستغلة في Chrome ضمن تحديث أمني واسع — تحديث طارئ لثغرة حرجة في Chrome يتيح تنفيذ برمجيات عشوائية عن بُعد.

أطلقت Google تحديثاً أمنياً طارئاً لمتصفح Chrome يعالج 74 ثغرة أمنية، تأتي في مقدمتها ثغرة صفرية (Zero-day) عالية الخطورة تحمل المعرف CVE-2026-11645. وأكدت الشركة رصد استغلال نشط لهذه الثغرة في هجمات واقعية.

ووفقاً للإشعار الأمني الرسمي الصادر عن Chrome يوم الاثنين 8 يونيو 2026، فقد جرى ترقية القناة المستقرة إلى الإصدار 149.0.7827.102/.103 لأنظمة Windows وmacOS، وإلى الإصدار 149.0.7827.102 لنظام Linux، على أن يتوفر التحديث تدريجياً لعموم المستخدمين خلال الأيام والأسابيع المقبلة.

تكمن الثغرة في محرك V8 المسؤول عن معالجة برمجيات JavaScript داخل Chrome، حيث صنفتها قاعدة بيانات الثغرات الوطنية الأمريكية (NVD) كخلل من نوع “القراءة والكتابة خارج حدود الذاكرة” (Out-of-bounds write/read). وتتيح هذه الثغرة للمهاجمين عن بُعد تنفيذ برمجيات عشوائية داخل بيئة عزل المتصفح (Sandbox)، عبر استدراج الضحية لزيارة صفحة HTML مفخخة معدة خصيصاً.

وكعادتها المتبعة عند التعامل مع الثغرات النشطة، حظرت Google التفاصيل الفنية وطبيعة الهجمات أو الجهات المستهدفة؛ وذلك بهدف حماية المستخدمين ومنع اتساع نطاق الاستغلال قبل اعتماد التحديث على نطاق واسع. وأوضحت الشركة أن القيود المفروضة على تفاصيل الخلل وروابطه الفنية ستستمر حتى تثبيت غالبية المستخدمين للإصدار الآمن.

من جهة أخرى، تشير بيانات NVD إلى أن الثغرة نالت تقييماً خطراً بلغ 8.8 درجات وفق مقياس CVSS 3.1 الصادر عن برنامج CISA-ADP، حيث تمتاز بمتطلبات استغلال منخفضة وبدون الحاجة لامتيازات مسبقة، برغم اعتمادها على تفاعل المستخدم. وبناء على ذلك، أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) الثغرة في كتالوج الثغرات المعروفة المستغلة (KEV)، ملزمة الجهات الفيدرالية والخاضعة لتوجيهاتها بتطبيق التحديثات العلاجية في موعد أقصاه 23 يونيو 2026.

يعود الفضل في اكتشاف الثغرة إلى باحث أمني يرمز لنفسه بالاسم 303f06e3، والذي أبلغ Google بالخلل في 27 أبريل 2026، لينال مكافأة مالية قدرها 55 ألف دولار ضمن برنامج مكافآت الثغرات (VRP). وتمثل CVE-2026-11645 الثغرة الصفرية الخامسة التي تصلحها Google في Chrome منذ مطلع عام 2026، بعد معالجة ثغرات سابقة هذا العام وهي: CVE-2026-2441، وCVE-2026-3909، وCVE-2026-3910، وCVE-2026-5281.

ينصح مستخدمو Chrome بالتحقق الفوري من توفر التحديث عبر الانتقال إلى قائمة الإعدادات، ثم المساعدة، واختيار “حول Google Chrome”، مع ضرورة إعادة تشغيل المتصفح لتفعيل الحماية.