رابع ثغرة “زيرو داي” في متصفح كروم خلال 2025.. وجوجل أصلحتها!
الثغرة "عالية الخطورة"ضمن تصنيف "ارتباك النوع - Type Confusion"
أصدرت شركة جوجل تحديثات طارئة لسدِّ ثغرة أمنية جديدة من نوع “زيرو داي” في متصفح كروم، وهي الرابعة التي يتم إصلاحها منذ بداية عام 2025 بعد أن تمَّ استغلالها في هجمات نشطة.
قالت الشركة في بيان أمني نُشر يوم الإثنين:
“جوجل على علم بوجود استغلال نشط للثغرة CVE-2025-6554 في البرية.”
وقد تمّ التخفيف من أثر هذه الثغرة في 26 يونيو 2025 عبر تعديل في الإعدادات تمَّ دفعه إلى قناة التحديث المستقر (Stable Channel) عبر جميع المنصات.
تفاصيل التحديثات لأنظمة ويندوز وماك ولينكس
شملت التحديثات الجديدة مستخدمي قناة سطح المكتب المستقرة (Stable Desktop)، وبدأت بالوصول عالميًا إلى:
- ويندوز: الإصدارات 138.0.7204.96 و138.0.7204.97
- ماك: الإصدارات 138.0.7204.92 و138.0.7204.93
- لينكس: الإصدار 138.0.7204.96
يُذكر أن اكتشاف الثغرة جاء بواسطة “كلمنت لسين” من فريق تحليل التهديدات في جوجل (Google TAG)، وهو فريق متخصص في التصدي للهجمات المدعومة من قبل الدول والتي تستهدف شخصيات عالية المخاطر مثل المعارضين السياسيين والصحفيين والنشطاء.
ثغرة خطيرة في محرّك V8
تُعد الثغرة “عالية الخطورة” ضمن تصنيف “ارتباك النوع – Type Confusion” في محرِّك JavaScript الشهير V8 التابع لكروم.
تؤدي مثل هذه الثغرات عادةً إلى تعطل المتصفح عند استغلالها من خلال قراءة أو كتابة بيانات خارج حدود الذاكرة، إلا أن المهاجمين يمكنهم استغلالها لتنفيذ تعليمات برمجية ضارة على الأجهزة غير المُحدَّثة.
ورغم أنَّ التحديثات الأمنية قد تستغرق أياماً أو أسابيع حتى تصل إلى جميع المستخدمين، لكنها -هذه المرة- كانت متاحة فورياً عبر خيار التحديث اليدوي.
يمكن للمستخدمين أيضاً الاعتماد على خاصية التحديث التلقائي في المتصفح، والتي تقوم بتثبيت التحديثات في المرة التالية لتشغيل كروم.
سياسة التكتّم على التفاصيل التقنية
أشارت جوجل إلى عدم نشرها بعد تفاصيل تقنية عن الثغرة أو الهجمات المرتبطة بها، وقالت:
قد يتم حجب تفاصيل الخطأ والروابط المرتبطة به حتى يتم تحديث معظم المستخدمين، كما سنُبقي التفاصيل محجوبة إذا كانت الثغرة موجودة ضمن مكتبة طرف ثالث لم يتم إصلاحها بعد في مشاريع أخرى تعتمد عليها.
رابع ثغرة “زيرو داي” خلال 2025
تُعد هذه رابع ثغرة “زيرو داي” نشطة يجري استغلالها ويتم إصلاحها هذا العام، بعد ثلاث ثغرات أخرى تم سدها خلال شهور مارس/آذار، مايو/أيار، ويونيو/حزيران.
مارس/آذار 2025:
CVE-2025-2783 — ثغرة في الهروب من صندوق الحماية (Sandbox Escape)، استُغلت في هجمات تجسس ضد مؤسسات حكومية وإعلامية روسية.
مايو/أيار 2025:
CVE-2025-4664 — ثغرة تسمح للمهاجمين بالاستيلاء على حسابات المستخدمين.
يونيو/حزيران 2025:
ثغرة “قراءة وكتابة خارج حدود الذاكرة” في محرِّك V8.
جدير بالذكر أن جوجل كانت قد أصلحت 10 ثغرات من نوع “زيرو داي” خلال عام 2024، استُغلت إما في هجمات واقعية أو خلال مسابقات الاختراق الشهيرة مثل Pwn2Own.
المصادر:
