أصدرت شركة جوجل تحديث أمان طارئ لمتصفح كروم لمعالجة ثغرتين خطيرتين من نوع "صفر يوم" يتم استغلالهما بنشاط في هجمات فعلية. وأكدت الشركة في نشرة أمنية أن أدوات استغلال كلا الثغرتين، المسجلتين تحت الرقمين CVE-2026-3909 وCVE-2026-3910، موجودة بالفعل "في البرية". تمثل هذه الحالة مثالاً آخراً حاسماً حيث يستغل المهاجمون ثغرات أمنية غير معلنة قبل أن يصبح التصحيح متاحاً على نطاق واسع، مما يشكل خطراً كبيراً على المستخدمين.
الثغرة الأولى، CVE-2026-3909، هي ضعف في الكتابة خارج النطاق المسموح في مكتبة "سكيا" للرسومات ثنائية الأبعاد مفتوحة المصدر، والتي يستخدمها كروم لعرض محتوى الويب وعناصر واجهة المستخدم. يمكن أن يسمح هذا النوع من عيوب فساد الذاكرة للمهاجم بتعطيل المتصفح أو، وهو الأكثر خطورة، بتنفيذ تعليمات برمجية عشوائية على النظام المستهدف. أما الثغرة الثانية، CVE-2026-3910، فتم وصفها على أنها ثغرة تنفيذ غير مناسب داخل محرك V8 لجافا سكريبت وWebAssembly، وهو المكون الأساسي في كروم لمعالجة نصوص الويب. يمكن استغلال مثل هذا الخطأ في التنفيذ لتجاوز آليات الأمان أو تنفيذ تعليمات برمجية ضارة.
تحركت جوجل بسرعة لتطوير ونشر التصحيحات بعد اكتشاف الثغرتين داخلياً. تم إصدار التحديثات لقناة الإصدار المستقر لأجهزة سطح المكتب في غضون يومين من الإبلاغ. الإصدارات المصححة هي 146.0.7680.75 لأنظمة ويندوز ولينكس، و146.0.7680.76 لنظام ماك أو إس. بينما تشير جوجل إلى أن التحديث الطارئ قد يستغرق أياماً أو حتى أسابيع للانتشار بالكامل إلى جميع المستخدمين، فإن الفحص اليدوي للتحديثات أكد توافره الفوري. يوصى بشدة بأن يقوم المستخدمون بإعادة تشغيل متصفحاتهم لتطبيق التصحيح.
يؤكد هذا الحادث التهديد المستمر لاستغلالات "الصفر يوم" التي تستهدف البرمجيات واسعة الانتشار مثل متصفحات الويب. يجب على المستخدمين والمؤسسات التأكد من تمكين التحديثات التلقائية أو تحديث كروم يدوياً على الفور عبر قائمة المساعدة > حول Google Chrome في المتصفح. يبقى التصحيح الاستباقي هو الدفاع الأكثر فعالية ضد مثل هذا الاستغلال النشط، حيث يمكن تحويل هذه الثغرات إلى أدوات لسرقة البيانات أو اختراق النظام، أو استخدامها كنقطة دخول أولية لهجمات أكثر شمولاً.
