تم اكتشاف ثغرة أمنية عالية الخطورة في متصفح Google Chrome برمز CVE-2025-4664، وقد أكدت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) استغلالها بشكل فعلي، مما أدى إلى إدراجها في كتالوج الثغرات المعروفة والمستغلة (Known Exploited Vulnerabilities).
آلية عمل الثغرة
تنشأ الثغرة من نقص في تطبيق السياسات الأمنية في وحدة “Loader” في متصفح Chrome، مما يمكن المهاجمين من تسريب بيانات عبر المواقع (Cross-Origin Data)، مما قد يؤدي إلى الاستحواذ على الحسابات (Account Takeover). يمكن استغلال هذه الثغرة عبر صفحة HTML مصممة خصيصًا، على إصدارات المتصفح ما قبل الإصدار v136.0.7103.113/.114 على أنظمة التشغيل Windows وmacOS وLinux.
وفقًا لما نشره الباحث الأمني Vsevolod Kokorin (slonser_)، فإن الخلل يتمثل في قدرة العنوان (Link Header) في Chrome على تحديد سياسة المراجع (Referrer Policy)، مما يسمح بتحديد unsafe-url وجمع كامل معلمات الاستعلام (Query Parameters)، والتي قد تتضمن بيانات حساسة مثل معلومات OAuth، مما يزيد من احتمالية اختراق الحسابات.
تحديثات الأمان
أعلنت Google عن التحديث الأمني الجديد الذي يعالج الثغرة، وأوصت بضرورة تحديث المتصفح إلى الإصدار الأخير لمنع الاستغلال. كما أن Microsoft Edge قد تلقى التحديث، ومن المتوقع أن تطلق المتصفحات الأخرى المبنية على Chromium، مثل Opera وBrave، تحديثاتها قريبًا.
الإجراءات الموصى بها
- تحديث المتصفح فورًا إلى الإصدار الأخير لتجنب استغلال الثغرة.
- في حالة إعداد التحديثات اليدوية، يجب إغلاق جميع نوافذ المتصفح المفتوحة وإعادة فتحه لتفعيل التحديث.
- في حالة تفعيل التحديث التلقائي، لا توجد حاجة لأي إجراء إضافي حيث سيتم التحديث في الخلفية.
- المؤسسات الحكومية الأمريكية ملزمة بتحديث Chrome قبل تاريخ 5 يوليو 2025 وفقًا لتوجيهات CISA، وينصح بشدة المؤسسات الأخرى، خاصة في القطاع الخاص، بفعل المثل.
