حقائق سريعة

• كروم 143 يصلح 13 ثغرة أمنية، من بينها 4 ثغرات شديدة الخطورة.
• أخطر ثغرة: خطأ "ارتباك النوع" في محرك جافاسكريبت V8.
• مشكلتان في الذاكرة من نوع "استخدام بعد التحرير" كانتا قد تسمحان للقراصنة بتشغيل شيفرة خبيثة.
• جوجل منحت ما لا يقل عن 18,000 دولار كمكافآت للباحثين عن الثغرات.
• التحديث متوفر الآن لأنظمة ويندوز، ماك أو إس، لينكس، أندرويد، وiOS.

عندما يتحول متصفحك إلى ساحة معركة

تخيل متصفح الإنترنت الخاص بك كمدينة مزدحمة، تفتح أبوابها لملايين الزوار يومياً. لكن تحت السطح، يمكن أن تصبح الأزقة الخفية والأبواب غير المحروسة نقاط دخول للّصوص الرقميين. هذا الأسبوع، أطلقت جوجل بهدوء كروم 143، لتصحيح 13 ثغرة من هذا النوع - بعضها كان خطيراً لدرجة أنه كان يمكن أن يسمح للمهاجمين بالتسلل والسيطرة على جهازك دون أن تلاحظ.

نظرة أقرب على الثغرات

أكثر الثغرات إثارة للقلق بين تلك التي تم تصحيحها هي خطأ "ارتباك النوع" في محرك جافاسكريبت V8 في كروم، وهو قلب كيفية تشغيل المواقع للبرمجيات النصية. ارتباك النوع يشبه إلى حد ما أن يخطئ حارس المدينة في التعرف على غريب ويظنه من السكان المحليين؛ إذا أخطأ المتصفح في قراءة نوع البيانات التي يتعامل معها، يمكن للمهاجم إدخال شيفرة خبيثة متخفية في صورة شيء غير ضار. دفعت جوجل 11,000 دولار للباحث الذي اكتشف هذه الثغرة، المسجلة باسم CVE-2025-13630.

إلى جانب ذلك، تم إصلاح ثغرتين من نوع "استخدام بعد التحرير" - تحدث هذه عندما يحاول كروم استخدام ذاكرة تم تحريرها بالفعل، مما يخلق فجوات يمكن للقراصنة استغلالها. وقد استُغلت ثغرات مماثلة في الماضي من قبل مجرمين إلكترونيين محترفين وحتى مجموعات مدعومة من دول، وأحياناً أدت إلى مراقبة صامتة أو هجمات فدية.

ثغرات أخرى شديدة الخطورة تضمنت تطبيقات غير صحيحة في أدوات المطورين في كروم، ومحدث جوجل، ووحدات بيانات الاعتماد الرقمية. رغم أن هذه تبدو تقنية، إلا أنها في جوهرها أقفال ضعيفة على أبواب هامة - إذا تم كسرها، يمكن للمهاجمين الحصول على وصول غير مصرح به أو تعطيل عمليات آمنة.

لماذا هذه الثغرات مهمة - وكيف ترد جوجل

شعبية كروم الهائلة - أكثر من 3 مليارات مستخدم - تجعله هدفاً مفضلاً للمجرمين الإلكترونيين. كل ثغرة جديدة هي سلاح محتمل في أيدي المهاجمين، سواء لشن هجمات تصيد جماعية، أو سرقة بيانات، أو زرع برمجيات خبيثة. برنامج مكافآت الثغرات من جوجل يشجع الباحثين على اكتشاف العيوب قبل أن يفعل ذلك المجرمون؛ في هذا التحديث وحده، تم منح ما لا يقل عن 18,000 دولار، رغم أن المدفوعات لبعض الثغرات لم يُكشف عنها بعد.

للبقاء في المقدمة، تستخدم جوجل أدوات متقدمة مثل AddressSanitizer وlibFuzzer، وهي أشبه بكلاب بوليسية رقمية تتعقب مسارات الشيفرة الخطرة. رغم هذه الجهود، يظهر التاريخ أن ثغرات المتصفحات يمكن أن تتحول بسرعة إلى أدوات لهجمات إلكترونية واقعية إذا لم يتم تصحيحها - كما حدث في استغلالات اليوم الصفري السابقة ضد صحفيين ونشطاء وشركات حول العالم.

الرهانات: اليقظة أمر لا يمكن التهاون فيه

بينما تشير جوجل إلى عدم وجود أدلة على استغلال هذه الثغرات تحديداً "في البرية"، إلا أن الفترة بين اكتشاف الثغرة وبدء الهجوم قد تكون قصيرة جداً. لهذا السبب ينصح الخبراء المستخدمين بتحديث كروم فوراً - التحديثات التلقائية تساعد، لكن من الحكمة التحقق يدوياً.

مع تطور التهديدات الإلكترونية، كل تصحيح هو انتصار صغير لكنه حاسم. في مشهد المدينة الرقمية، ترك باب غير محروس - even ليوم واحد - قد يكون كل ما يحتاجه القراصنة.

ويكي كروك

• ارتباك النوع: ارتباك النوع هو خطأ برمجي حيث يسيء البرنامج تفسير أنواع البيانات، مما قد يسمح للمهاجمين بتنفيذ شيفرة خبيثة أو اختراق الأمان.
• الاستخدام: في الأمن السيبراني، "الاستخدام" يعني الوصول إلى مورد أو التفاعل معه. الاستخدام غير الصحيح، مثل استخدام ذاكرة محررة، يمكن أن يخلق ثغرات أمنية.
• مكافأة الثغرات: مكافأة الثغرات هو برنامج تكافئ فيه الشركات الباحثين الأمنيين على اكتشافهم وإبلاغهم عن ثغرات برمجية لتحسين الأمن السيبراني.
• محرك جافاسكريبت V8: محرك جافاسكريبت V8 هو تقنية جوجل لتشغيل جافاسكريبت بسرعة في كروم وNode.js ومنصات أخرى، مما يمكّن تطبيقات الويب السريعة.
• يوم صفري: ثغرة اليوم الصفري هي خلل أمني خفي غير معروف لمطور البرنامج، ولا يوجد له تصحيح متاح، مما يجعله ذا قيمة وخطورة عالية للمهاجمين.