ثغرة جديدة تهز متصفح “كروم”: عندما يتحول التصفح العادي إلى بوابة اختراق صامتة
ثغرة جديدة تهز متصفح “كروم”: عندما يتحول التصفح العادي إلى بوابة اختراق صامتة
كتب ا. د. وائل بدوى
في عالم يعتمد بشكل شبه كامل على الإنترنت، لم يعد المتصفح مجرد أداة لفتح المواقع، بل أصبح بوابة رئيسية للعمل، والتعليم، والتواصل، بل وحتى لإدارة الأنظمة الحساسة داخل المؤسسات. لكن ماذا يحدث عندما تتحول هذه البوابة نفسها إلى نقطة ضعف خطيرة؟
هذا هو المشهد الذي تفرضه الثغرة الأمنية الجديدة CVE-2026-3910، والتي تم تصنيفها كثغرة عالية الخطورة (CVSS 8.8)، والأخطر من ذلك أنها ليست مجرد ثغرة نظرية، بل مستغلة فعليًا في الهجمات الإلكترونية الجارية.
ثغرة داخل “عقل” المتصفح
تكمن خطورة هذه الثغرة في موقعها الحساس: داخل محرك V8 JavaScript، وهو القلب النابض لمتصفح Google Chrome، والمسؤول عن تنفيذ الأكواد داخل صفحات الويب.
الخلل يُوصف بأنه “تنفيذ غير مناسب” داخل المحرك، لكنه في الواقع يفتح الباب أمام سيناريو أكثر خطورة:
تمكين المهاجم من تنفيذ كود ضار داخل بيئة المتصفح.
بمعنى أبسط، كل ما يحتاجه المهاجم هو إقناع المستخدم بزيارة صفحة ويب مُصممة بعناية. بمجرد فتح الصفحة، يمكن استغلال الثغرة لتنفيذ أوامر خبيثة دون علم المستخدم.
من التصفح إلى الاختراق: كيف تتم العملية؟
الهجوم لا يتطلب مهارات متقدمة من الضحية، بل يعتمد على الهندسة الاجتماعية. قد يكون الرابط في رسالة بريد إلكتروني، أو إعلانًا، أو حتى منشورًا على وسائل التواصل.
بمجرد النقر:
- يتم تحميل صفحة HTML خبيثة
- تستغل الثغرة داخل V8
- يتم تنفيذ كود داخل “Sandbox” المتصفح
- ومن هناك، قد يحاول المهاجم توسيع الهجوم للوصول إلى النظام أو البيانات
ورغم أن بيئة “Sandbox” صُممت لحماية المستخدم، إلا أن مثل هذه الثغرات تُظهر أن هذه الحماية ليست مطلقة.
ليس كروم وحده: دائرة الخطر تتسع
التهديد لا يقتصر على Google Chrome فقط.
كل المتصفحات المبنية على Chromium معرضة للخطر، مثل:
- Microsoft Edge
- Brave
- Opera
- Vivaldi
بل إن التأثير يمتد إلى تطبيقات تعتمد على Electron، وهو ما يعني أن بعض تطبيقات سطح المكتب قد تكون معرضة أيضًا.
بمعنى آخر، نحن أمام ثغرة تمس نظامًا بيئيًا كاملًا، وليس برنامجًا واحدًا فقط.
تحذير رسمي: تدخل عاجل من CISA
خطورة الوضع دفعت وكالة الأمن السيبراني الأمريكية (CISA) إلى إدراج هذه الثغرة ضمن قائمة Known Exploited Vulnerabilities (KEV)، وهي قائمة مخصصة للثغرات التي يتم استغلالها فعليًا.
ولم تكتفِ بذلك، بل أصدرت توجيهًا عاجلًا يُلزم الجهات الفيدرالية الأمريكية بتحديث أنظمتها قبل 27 مارس 2026، مع توصية قوية لجميع المؤسسات حول العالم باتخاذ نفس الإجراء فورًا.
هذا النوع من التحذيرات نادر نسبيًا، ويعكس مستوى الخطر المرتفع.
ما الذي يجب فعله الآن؟
الاستجابة لهذه الثغرة لا تتطلب خبرة تقنية معقدة، لكنها تتطلب سرعة في التنفيذ:
أولًا، تحديث المتصفح فورًا إلى الإصدار:
- 146.0.7680.75 (Windows / Linux)
- 146.0.7680.76 (macOS) أو أحدث
ثانيًا، إعادة تشغيل المتصفح، لأن التحديثات الأمنية لا تُفعّل بالكامل إلا بعد إعادة التشغيل.
ثالثًا، مراجعة أي تطبيقات تعتمد على Chromium أو Electron، والتأكد من تحديثها أيضًا.
هذه الخطوات البسيطة قد تكون الفارق بين الأمان والاختراق.
لماذا أصبحت هذه الثغرات أكثر خطورة؟
ما يميز هذه الحالة ليس فقط خطورة الثغرة، بل توقيتها وسياقها.
نحن نعيش في عصر:
- الاعتماد الكامل على المتصفح في العمل
- استخدام تطبيقات الويب كبديل للبرامج التقليدية
- تزايد الهجمات المعتمدة على استغلال المستخدم نفسه
هذا يعني أن المتصفح لم يعد مجرد أداة، بل أصبح نقطة ارتكاز للهجوم.
الأمن السيبراني: من مسؤولية تقنية إلى ثقافة يومية
هذه الحادثة تعيد طرح سؤال مهم:
هل الأمن السيبراني مسؤولية قسم تكنولوجيا المعلومات فقط؟
الإجابة أصبحت واضحة: لا.
كل مستخدم أصبح جزءًا من منظومة الأمن.
نقرة واحدة على رابط غير موثوق قد تكون كافية لفتح باب الاختراق.
وهنا تظهر أهمية:
- الوعي الرقمي
- الحذر في التعامل مع الروابط
- والتحديث المستمر للأنظمة
ما وراء الخبر: رسالة أعمق
ثغرة مثل CVE-2026-3910 ليست مجرد خلل تقني، بل تذكير قوي بأن التكنولوجيا، مهما بلغت من تطور، تظل عرضة للثغرات.
وكلما زاد اعتمادنا عليها، زادت أهمية إدارتها بحذر.
خاتمة: السباق مستمر
في عالم الأمن السيبراني، لا توجد نقطة نهاية.
هناك سباق دائم بين من يطور الأنظمة ومن يحاول اختراقها.
وثغرات مثل هذه تذكرنا بأن الأمان ليس حالة ثابتة، بل عملية مستمرة من التحديث والوعي والانتباه.
السؤال لم يعد: هل يمكن اختراق النظام؟
بل: هل نحن مستعدون لتقليل المخاطر قبل أن تتحول إلى أزمة؟
