ثغرات أمنية

ثغرات في Chrome تتيح تنفيذ شيفرات خبيثة على أجهزة المستخدمين

تحديث أمني جديد من جوجل يعالج ثلاث ثغرات حرجة في مكونات Sync وStorage وWebCodecs

تم النشر في Oct. 09, 2025

ثغرات في Chrome تتيح تنفيذ شيفرات خبيثة على أجهزة المستخدمين — تحديث Chrome الجديد يعالج ثغرات ذاكرة خطيرة قد تسمح بتنفيذ شيفرات خبيثة عن بُعد على أجهزة المستخدمين.

أطلقت شركة جوجل الإصدار 141.0.7390.65/.66 لمتصفح Chrome لأنظمة Windows و Mac، إلى جانب الإصدار 141.0.7390.65 لنظام Linux. يهدف هذا التحديث إلى معالجة مجموعة من الثغرات الأمنية الخطيرة التي قد تسمح للمهاجمين بتنفيذ شيفرات خبيثة على الأنظمة المستهدفة. وأُعلن عن هذا التحديث في السابع من أكتوبر 2025، متضمناً ثلاث إصلاحات أمنية رئيسية تعد من بين الأكثر خطورة، نظراً لاحتمال استغلالها على نطاق واسع حول العالم.

أخطر هذه الثغرات هي CVE-2025-11458، وهي ثغرة من نوع Heap Buffer Overflow في مكون المزامنة، وصنفت كثغرة “مرتفعة الخطورة”. اكتشفها الباحث الأمني رافين من KunLun Lab في الخامس من سبتمبر 2025، وحصل على مكافأة قدرها 5 آلاف دولار ضمن برنامج مكافآت الثغرات التابع لجوجل. وتحدث ثغرات Heap Buffer Overflow عندما يكتب البرنامج بيانات خارج حدود الذاكرة المخصصة له، مما يؤدي إلى تلف الذاكرة المجاورة وإتاحة الفرصة أمام المهاجمين لتنفيذ تعليمات برمجية عشوائية.

أما الثغرة الثانية، CVE-2025-11460، فهي من نوع Use-After-Free في مكون التخزين، واكتشفها الباحث سومبرا في 23 سبتمبر 2025. وتحدث هذه الثغرة عندما يحاول المتصفح الوصول إلى منطقة ذاكرة تم تحريرها مسبقاً، ما يسمح بالتلاعب بتخصيص الذاكرة وتنفيذ شيفرة خبيثة. تُعد هذه الثغرة من أخطر أنواع الثغرات لأنها قد تؤدي إلى السيطرة الكاملة على النظام عند استغلالها بنجاح.

تتعلق الثغرة الثالثة، CVE-2025-11211، بقراءة بيانات خارج حدود الذاكرة المخصصة في مكون WebCodecs. اكتشفها الباحث جاكوب كوشير في 29 أغسطس 2025. ورغم أنها مصنفة متوسطة الخطورة، فإنها قد تمكن المهاجمين من قراءة معلومات حساسة من الذاكرة أو استخدامها ضمن سلاسل استغلال أكثر تعقيداً. وقد نال الباحث مكافأة قدرها 3 آلاف دولار لقاء اكتشافها.

اعتمد فريق الأمان في جوجل على مجموعة من أدوات الفحص المتقدمة لاكتشاف هذه الثغرات، منها AddressSanitizer وMemorySanitizer وUndefinedBehaviorSanitizer وتقنيات Control Flow Integrity وlibFuzzer وAFL، لاختبار الشيفرة البرمجية آلياً بهدف كشف أخطاء الذاكرة وحالات السباق البرمجي والثغرات الأمنية الحرجة قبل وصولها إلى المستخدمين.

كما نفذت جوجل إجراءات وقائية شاملة في بنية Chrome تشمل آليات العزل Sandboxing التي تفصل عمليات العرض Rendering لتقليل تأثير أي استغلال محتمل. ومع ذلك، شددت الشركة على ضرورة تحديث المستخدمين لمتصفحاتهم فوراً.