ثغرة كروم الخامسة من نوع Zero‑Day في 2026: هجمات تستهدف محرك V8 تُجبر غوغل على تحديث طارئ

تفاصيل التصحيح وخط التحديث الزمني

تم دفع التصحيح الطارئ عبر "قناة الإصدار المستقر" (Stable Desktop Channel) في 8 يونيو 2026، كجزء من إصدار أوسع يصحح 74 ثغرة أمنية في تحديث واحد . أكدت غوغل أن هناك استغلالاً فعلياً للثغرة "موجوداً على أرض الواقع"، مما يجعل هذا التحديث إلزامياً وعاجلاً لأي شخص يستخدم كروم على أجهزة سطح المكتب .

الإصدارات التي تحتوي على التصحيح هي:

• ويندوز وماك: كروم 149.0.7827.102 / 149.0.7827.103
• لينكس: كروم 149.0.7827.102

وكالعادة مع تحديثات كروم، يجري تعميم التصحيح تدريجياً على مدى أيام أو أسابيع، ولكن يمكنك تشغيل التحديث يدوياً من خلال:
قائمة كروم (النقاط الثلاث) > مساعدة > حول Google Chrome.

مكافأة اكتشاف الثغرة والإبلاغ عنها

باحث أمني مجهول يحمل اسماً مستعاراً هو "303f06e3" اكتشف الثغرة وأبلغ غوغل بها في 27 أبريل 2026 . منحت غوغل مكافأة قدرها 55,000 دولار أمريكي لقاء هذا الاكتشاف، وهو مبلغ متوافق مع مستويات المكافآت في برنامج مكافآت ثغرات كروم (Chrome Vulnerability Rewards Program) للعيوب عالية التأثير في محرك V8 .

الصورة الأوسع: ثغرات Zero‑Day في كروم خلال 2026

بإضافة CVE‑2026‑11645، يصبح عدد ثغرات Zero‑Day التي تم استغلالها فعلياً وترقيعها في كروم خلال عام 2026 وحده هو خمس ثغرات ، مما يعكس إيقاعاً متسارعاً لاستغلال المتصفحات:

• CVE‑2026‑2441 (فبراير 2026): ثغرة "استخدام بعد التحرير" (Use-after-free) في آلية معالجة صفحات التنسيق (CSS) سمحت بتنفيذ تعليمات برمجية عن بُعد .
• CVE‑2026‑3909 (12 مارس 2026): ثغرة كتابة خارج النطاق في مكتبة Skia للرسوميات ثنائية الأبعاد، وهي جزء أساسي من آلية عرض كروم .
• CVE‑2026‑3910 (12 مارس 2026): خلل برمجي في محرك V8 سمح بتنفيذ تعليمات برمجية عشوائية داخل بيئة الحماية، وتم ترقيعها مع سابقتها .
• CVE‑2026‑5281 (1 أبريل 2026): ثغرة "استخدام بعد التحرير" في مكتبة Dawn لتشغيل رسوميات WebGPU، والتي أضافتها وكالة الأمن السيبراني الأمريكية (CISA) إلى فهرس الثغرات المستغلة وألزمت الوكالات الفيدرالية بترقيعها بسرعة .
• CVE‑2026‑11645 (يونيو 2026): ثغرة القراءة والكتابة خارج النطاق في V8 والتي تم ترقيعها بهذا التحديث الطارئ .

جميع الثغرات الخمس تأكد استغلالها فعلياً قبل إصدار التصحيحات، وهو نمط يضع عام 2026 على مسار لتجاوز إجمالي عدد ثغرات Zero‑Day في كروم التي عالجتها غوغل في الأعوام السابقة.

ماذا يجب أن تفعل الآن؟

عادةً ما يُحدّث كروم نفسه تلقائياً في الخلفية، لكن عملية التعميم التلقائي قد تستغرق أياماً لتصل إلى جميع المستخدمين. للحصول على حماية فورية، افتح كروم، واذهب إلى قائمة النقاط الثلاث في الزاوية العلوية اليمنى، ثم اختر مساعدة > حول Google Chrome. دع المتصفح يتحقق من وجود أي تحديث متاح ويطبقه. يجب أن يظهر رقم الإصدار 149.0.7827.102 أو أعلى على ويندوز ولينكس، و149.0.7827.103 أو أعلى على ماك .

على المؤسسات التي تدير نشر متصفح كروم داخلياً التحقق من أن جميع أجهزة المستخدمين النهائيين قد تلقت الإصدار المستقر الأخير، مع التفكير في تسريع الجدول الزمني للنشر لهذا التصحيح الطارئ خارج النطاق الزمني المعتاد. حالة الاستغلال المؤكد على أرض الواقع تعني أن أي نظام لا يزال يعمل بإصدار أقدم من كروم يبقى عرضة لهجمات قائمة.