أطلقت شركة جوجل تحديثًا لمتصفح Chrome لتصحيح ثغرة أمنية يتم استغلالها بشكل نشط، كما يؤدي هذا التحديث إلى إرتقاء المتصفح إلى الإصدارات 136.0.7103.113/.114 لنظامي التشغيل Windows وMac و136.0.7103.113 لنظام Linux، والطريقة الأسهل للتحديث هي السماح له بالتحديث تلقائيا.
ثغرة أمنية بمتصفح كروم تسرق الأجهزة
ووفقا لموقع malwarebytes، حذرت شركة جوجل المستخدمين من استخدام المتصفح على جهاز الكمبيوتر الخاص به، حيث تم العثور على خطأ مثير للقلق وهو وجود علامة (يوم صفر) وهو ما يشير إلى أن هذه الثغرة يتم استغلالها بشكل نشط من قبل المتسللين ، وقد تحركت الشركة بشكل سريع لمعالجة المشكلة وقامت الآن بتصحيح المتصفح من خلال التحديث.
كيفية الحصول على التحديث؟
إذا كنت ترغب في الحصول على التحديث لتجنب الثغرات الأمنية انقر على الإعدادات، وبعدها حول متصفح جوجل كروم، وفي حال توفر تحديث، سيُعلمك كروم بذلك ويبدأ تنزيله، وبعد ذلك ما عليك سوى إعادة تشغيل المتصفح لإكمال التحديث، ولحماية نفسك من هذه الثغرات الأمنية.
أهمية التحديث الجديد في كروم
لهذا التحديث أهمية كبيرة للغاية؛ إذ يعالج ثغرة أمنية مُستغلة بنشاط، وقد تسمح للمهاجم بسرقة معلوماتك التي تشاركها مع مواقع ويب أخرى، وتوضح جوجل أنها تُدرك وجود معلومات عن الثغرة الأمنية CVE-2025-4664، ولكن على الرغم من أن جوجل لم تُقرّ باستغلال هذه الثغرة بشكل نشط، إلا أن وكالة الأمن السيبراني وأمن البنية التحتية (CISA) أضافتها إلى قائمة الثغرات الأمنية المُستغلة المعروفة لديها، وهو مؤشر قوي على استغلال هذه الثغرة بشكل واسع.
التفاصيل الفنية للثغرة الأمنية
تكمن الثغرة الأمنية برقم (CVE-2025–4664) ، في مُكوّن Chrome Loader، الذي يُعالج طلبات الموارد عند زيارة موقع ويب، وغالبًا ما يحتاج مُتصفّحك إلى تحميل أجزاء إضافية من ذلك الموقع، مثل الصور أو النصوص البرمجية أو أوراق الأنماط، والتي قد تأتي من مصادر مُختلفة، وتكمن الثغرة في عدم تطبيق سياسات الأمان هذه بشكل صحيح على رؤوس الروابط، مما سمح هذا للمهاجمين بوضع سياسة مرجعية في رأس الرابط، مما يُلزم Chrome بتضمين عناوين URL كاملة.
ويعد هذا أمرًا غير مرغوب فيه نظرًا لأن معلمات الاستعلام في عناوين URL الكاملة غالبًا ما تحتوي على معلومات حساسة مثل رموز OAuth (المستخدمة للمصادقة) ومعرفات الجلسة وغيرها من البيانات الخاصة، فتخيل أنك تزور موقعًا إلكترونيًا يتعلق بمعلومات حساسة أو مالية، ويتضمن عنوان URL رمزًا سريًا في شريط العناوين يُثبت هويتك. عادةً، وعندما يُحمّل متصفحك صورًا أو محتوى آخر من مواقع ويب مختلفة، فإنه يُبقي هذا الرمز السري سريًا، ولكن بسبب هذا الخلل في مُحمّل Chrome، يُمكن لمُهاجم ناجح خداع متصفحك لإرسال هذا الرمز السري إلى موقع ويب ضار بمجرد تضمين صورة أو مورد آخر فيه.