أصدرت جوجل تحديثات عاجلة لتصحيح أربع ثغرات أمنية في متصفح كروم، إحداها تُستغل حاليًا في الهجمات الإلكترونية.
تفاصيل الثغرة (CVE-2025-4664)
-
مستوى الخطورة: مرتفع (CVSS: 4.3).
-
السبب: ضعف في تطبيق السياسات الأمنية في مكون “Loader” بالمتصفح.
-
التأثير: يُمكن لمهاجم عن بُعد تسريب بيانات عبر المواقع (Cross-Origin Data Leak) عبر صفحة ويب مُعدة خصيصًا.
كيف تعمل الثغرة؟
كشف الباحث الأمني فيسفولود كوكورين (Slonser) عن التفاصيل عبر تويتر في 5 مايو 2025، موضحًا أن:
-
كروم يعالج رأس “Link” في طلبات الموارد الفرعية (Sub-Resource Requests) بشكل مختلف عن المتصفحات الأخرى.
-
يمكن للمهاجم استخدام سياسة إحالة غير آمنة (unsafe-url) لسرقة معلمات الاستعلام (Query Parameters) التي قد تحتوي على بيانات حساسة مثل:
-
رموز الجلسات (Session Tokens).
-
معلومات تسجيل الدخول.
-
بيانات المستخدمين.
-
-
يُمكن استغلال الثغرة عبر تحميل صورة من مصدر خارجي لسرقة البيانات.
هل تم استغلال الثغرة في هجمات فعلية؟
-
أكدت جوجل وجود استغلال نشط (Active Exploitation) للثغرة في البرية.
-
هذه هي الثغرة الثانية التي يتم استغلالها خلال عام 2025 بعد CVE-2025-2783.
كيف تحمي نفسك؟
يجب على جميع مستخدمي كروم تحديث المتصفح فورًا إلى الإصدارات التالية:
-
Windows وMac: 136.0.7103.113/.114
-
Linux: 136.0.7103.113
كما يُنصح مستخدمو المتصفحات الأخرى المبنية على Chromium مثل:
-
مايكروسوفت إيدج
-
برايف
-
أوبرا
-
فيivaldi
بالتحديث بمجرد توفر الإصلاحات.
