أصدرت شركة جوجل تحديثًا أمنيًا لمعالجة ثغرة أمنية خطيرة في متصفح Chrome، تُعرف باسم “ثغرة يوم الصفر”، والتي أكدت الشركة أنها تخضع للاستغلال الفعلي حاليًا من قبل جهات مجهولة.
والثغرة المُكتشفة، والتي تحمل الرقم المرجعي CVE-2025-6554، لم يُحدد لها بعد تصنيف رسمي من حيث الخطورة عبر مقياس CVSS، لكنها توصف بأنها من نوع “ارتباك النوع” (Type Confusion) داخل محرك V8 المسؤول عن تشغيل JavaScript وWebAssembly في متصفح كروم.
وبحسب قاعدة البيانات الوطنية للثغرات الأمنية (NVD)، فإن هذا النوع من الثغرات يمكن أن يسمح للمهاجمين عن بُعد بتنفيذ عمليات قراءة وكتابة عشوائية في الذاكرة، وذلك عبر صفحات HTML مصممة خصيصًا. وتشكل هذه الثغرات خطرًا بالغًا، إذ قد تؤدي إلى تنفيذ أوامر ضارة، أو تعطيل البرنامج، أو اختراق الجهاز بمجرد زيارة موقع خبيث.
وغالبًا ما تُستغل ثغرات “يوم الصفر” قبل أن تتمكن الشركات من توفير حلول تصحيحية، ما يمنح المهاجمين نافذة زمنية حرجة لتنفيذ عمليات تجسس أو تحميل برمجيات خبيثة دون علم المستخدم.
اكتشاف الثغرة والتعامل الفوري معها
يرجع الفضل في اكتشاف هذه الثغرة إلى الباحث الأمني كليمان لوكين من فريق تحليل التهديدات في جوجل (TAG)، وقد تم الإبلاغ عنها في 25 يونيو 2025. ويُعرف فريق TAG بتتبعه للهجمات المعقدة التي تقف خلفها غالبًا دول أو جهات استخباراتية، ما يعزز من فرضية أن الثغرة ربما كانت تُستغل في هجمات دقيقة وذات أهداف عالية القيمة.
وفي خطوة استباقية، قامت جوجل بمعالجة الثغرة جزئيًا في اليوم التالي من خلال تعديل في إعدادات المتصفح تم دفعه عبر القناة المستقرة (Stable) لجميع أنظمة التشغيل. ورغم أن الخطر لم يتحول بعد إلى هجوم واسع النطاق، إلا أن الشركة تحذر من ضرورة التحديث الفوري، خاصةً للمستخدمين الذين يتعاملون مع بيانات حساسة أو يعملون في بيئات أمنية.
التحديثات المطلوبة والإجراءات الوقائية
لم تكشف جوجل حتى الآن عن تفاصيل إضافية حول الجهات التي قد تكون استغلت الثغرة، لكنها أكدت رسميًا أن هناك استغلالًا نشطًا لها “في البرية”.
وتُعد هذه الثغرة هي الرابعة من نوعها في متصفح كروم منذ بداية عام 2025، بعد الثغرات CVE-2025-2783 وCVE-2025-4664 وCVE-2025-5419، رغم أنه لم يُثبت بعد استغلال الأخيرة فعليًا.
لحماية أنفسهم، يُنصح المستخدمون بتحديث متصفح Chrome إلى الإصدارات التالية:
-
Windows: إصدار 138.0.7204.96 أو 138.0.7204.97
-
macOS: إصدار 138.0.7204.92 أو 138.0.7204.93
-
Linux: إصدار 138.0.7204.96
وللتحقق من التحديث، يُمكن الذهاب إلى “الإعدادات > مساعدة > حول Google Chrome”، حيث سيقوم المتصفح تلقائيًا بالبحث عن آخر التحديثات.
كما يُنصح مسؤولو تقنية المعلومات في الشركات بتمكين إدارة التصحيحات التلقائية، ومراقبة توافق نسخ المتصفح في بيئات العمل، لضمان عدم ترك أي نقطة ضعف قائمة.
وتشمل التوصيات أيضًا مستخدمي المتصفحات الأخرى المبنية على منصة Chromium مثل Microsoft Edge وBrave وOpera وVivaldi، حيث يُنصحهم بتطبيق التحديثات فور صدورها لتفادي مخاطر مماثلة.
