أصدرت Google تحديثاً أمنياً طارئاً لمتصفح Chrome لمعالجة ثغرة صفرية عالية الخطورة قيد الاستغلال حالياً. الثغرة مؤرخة بالإشارة CVE-2025-10585 وصنفت كخلل Type Confusion في محرك V8 المسؤول عن تشغيل JavaScript وWebAssembly. تشير تفاصيل الخلل إلى أن برنامجاً ما قد يخزن كائناً أو مورداً بنوع معين ثم يعالج ذلك المورد بنوع آخر غير متوافق مما يؤدي إلى أخطاء منطقية وتلف في الذاكرة، ويمكن استغلال ذلك لتنفيذ تعليمات برمجية عن بعد تمكن المهاجم من الخروج من صندوق الحماية Sandbox الخاص بالمتصفح بعد إقناع المستخدم بزيارة صفحة ويب معدة خصيصاً.
حدثت القناة المستقرة من المتصفح إلى النسخة 140.0.7339.185 و140.0.7339.186 على أنظمة Windows وmacOS، وإلى النسخة 140.0.7339.185 على أنظمة Linux. وأوضحت Google أن التحديث سيُوزع تدريجياً على كافة المستخدمين خلال الأيام والأسابيع القادمة، لكن بالنظر إلى استغلال الثغرة بنشاط توصي الشركة بأن يقوم المستخدمون بتشغيل التحديث يدوياً لضمان حماية فورية.
أبلغت وحدة Threat Analysis Group التابعة لشركة Google عن الثغرة في السادس عشر من سبتمبر 2025 وهي وحدة متخصصة عادة في رصد ثغرات الصفر المستخدمة في هجمات موجهة من جهات فاعلة ذات قدرات متقدمة. نظراً لتأكيد استغلال الثغرة، يعد الخطر على الأنظمة غير المحدثة كبيراً وقد يؤدي إلى اختراق بيئة المتصفح والوصول إلى بيانات المستخدم أو استخدامها كقاعدة لتنفيذ هجمات لاحقة.
إلى جانب الثغرة الصفرية، يتضمن التحديث إصلاحات لثلاث ثغرات عالية الخطورة اكتشفها باحثون خارجيون. الأولى رمزها CVE-2025-10500 وهي Use-After-Free في مكون Dawn المختص بالتجريد الرسومي. الثانية CVE-2025-10501 وهي Use-After-Free في مكون WebRTC المسؤول عن الاتصالات في الوقت الحقيقي. والثالثة CVE-2025-10502 وهي Heap Buffer Overflow في ANGLE المكون الخاص بترجمة واجهات الرسوميات. ثغرات Use-After-Free وHeap Overflow تؤدي إلى تلف ذاكرة قد يسمح بتنفيذ تعليمات عشوائية على الجهاز المستهدف.
في إطار، مكافآت برنامج تقصي الثغرات، دفعت Google مبلغ 15,000 دولار لمكتشف أحد هذه العلل و10,000 دولار لمكتشف آخر. وللحد من إساءة الاستعمال، قامت Google بتقييد الوصول إلى تفاصيل الثغرة وروابطها التقنية مؤقتاً إلى أن يصل التحديث إلى غالبية قاعدة المستخدمين.
سجل ثغرات الصفر المعلنة في 2025 والمرممة ضمن تحديثات Chrome موضح في الجدول التالي:
| CVE ID | نوع الضعف | مستغلة حالياً |
| CVE-2025-10585 | Type Confusion | نعم |
| CVE-2025-6558 | Improper Input Validation | نعم |
| CVE-2025-6554 | Type Confusion | نعم |
| CVE-2025-5419 | Out of Bounds Access | نعم |
| CVE-2025-2783 | Sandbox Bypass | نعم |
| CVE-2025-4664 | Insufficient Policy Enforcement | نعم |
