أصدرت شركة جوجل تحديثات أمنية عاجلة لمتصفح Chrome لمعالجة ثغرتين من نوع Zero-Day تم استغلالهما بالفعل في هجمات نشطة. الثغرتان تحملان أرقام تعريفية عالية الخطورة:
- CVE-2026-3909 (درجة CVSS: 8.8): ثغرة من نوع Out-of-Bounds Write في مكتبة الرسوميات ثنائية الأبعاد Skia، تسمح للمهاجم بتنفيذ وصول غير مصرح به إلى الذاكرة عبر صفحة HTML مصممة خصيصاً.
- CVE-2026-3910 (درجة CVSS: 8.8): ثغرة في محرك V8 الخاص بجافاسكريبت وWebAssembly، تتيح تنفيذ تعليمات برمجية عشوائية داخل بيئة Sandbox عبر صفحة HTML خبيثة.
استغلال فعلي وتحذيرات أمنية
أكدت جوجل أنها على علم بوجود استغلال فعلي للثغرتين في البرية، لكنها لم تكشف عن تفاصيل إضافية حول كيفية الاستغلال أو الجهات المسؤولة، وذلك لتجنب منح المهاجمين فرصة لتكرار الهجمات.
اللافت أن هذه الإصلاحات تأتي بعد أقل من شهر من معالجة ثغرة أخرى من نوع Use-After-Free في مكون CSS (CVE-2026-2441)، والتي استُغلت أيضاً كـ Zero-Day. وبذلك يكون غوغل قد أصلحت ثلاث ثغرات خطيرة تم استغلالها منذ بداية عام 2026.
التحديثات المطلوبة والإصدارات المتأثرة
للحماية المثلى، أوصت غوغل المستخدمين بتحديث متصفح كروم إلى الإصدارات:
- 146.0.7680.75/76 على أنظمة Windows وmacOS
- 146.0.7680.75 على أنظمة Linux
يمكن للمستخدمين التأكد من تثبيت التحديث عبر الانتقال إلى: المزيد > المساعدة > حول Google Chrome ثم اختيار إعادة التشغيل.
كما نصحت الشركة مستخدمي المتصفحات المبنية على Chromium مثل Microsoft Edge وBrave وOpera وVivaldi بتطبيق التحديثات فور توفرها.
دور CISA وإجراءات إلزامية
أضافت وكالة الأمن السيبراني والبنية التحتية الأميركية (CISA) الثغرتين إلى كتالوج الثغرات المستغلة المعروفة (KEV) بتاريخ 13 مارس 2026، وألزمت الوكالات الفيدرالية المدنية بتنفيذ التحديثات قبل 27 مارس 2026. هذه الخطوة تعكس خطورة الثغرتين وضرورة الاستجابة السريعة لتقليل فرص الاستغلال.
