ثغرة غير مُصحَّحة في Chromium تعرّض المتصفحات الكبرى لخطر الاستغلال الصامت

التكنولوجيا اليومية

·

22/05/2026

ADVERTISEMENT

كشفت Google، من دون قصد، عن تفاصيل ثغرة كبيرة غير مُصحَّحة في محرّك المتصفح Chromium التابع لها. ويمكن لهذه الثغرة، التي تؤثر في طيف واسع من متصفحات الويب الشائعة، أن تتيح للمهاجمين تنفيذ تعليمات برمجية عن بُعد على جهاز المستخدم حتى بعد إغلاق المتصفح بوقت طويل، مما يخلق تهديدًا أمنيًا مستمرًا.

ثغرة JavaScript المستمرة

يكمن جوهر هذه الثغرة، التي أبلغت عنها لأول مرة الباحثة الأمنية ليرا ريبانِه في أواخر عام 2022، في الطريقة التي يتعامل بها Chromium مع Service Workers في JavaScript. ويمكن للمهاجم إنشاء صفحة ويب خبيثة تبدأ مهمة تعمل في الخلفية، مثل تنزيل زائف، ولا تنتهي أبدًا.

وهذا يسمح لشفرة JavaScript بالاستمرار في العمل إلى أجل غير مسمى على جهاز الزائر، حتى إذا أُغلق تطبيق المتصفح. ويؤدي ذلك فعليًا إلى إنشاء باب خلفي دائم لتنفيذ التعليمات البرمجية عن بُعد، وكل ذلك من خلال زيارة واحدة فقط لموقع مخترَق.

ADVERTISEMENT

زيارة واحدة يمكن أن تستمر آثارها بعد الإغلاق

تتيح هذه الثغرة لشفرة JavaScript الخبيثة مواصلة العمل حتى بعد أن يغلق المستخدم المتصفح، فتحوّل مجرد مشاهدة صفحة واحدة إلى خطر مستمر.

مخاطر شبكات البوتنت الخفية

يكمن الخطر الأساسي لهذا الاستغلال في قدرته المحتملة على إنشاء «شبكات بوتنت» واسعة النطاق. إذ يمكن تسخير المتصفحات المصابة، من دون علم المستخدم، في أنشطة خبيثة.

وتندرج أوجه الإساءة المحتملة تحت عدة فئات عملية.

كيف يمكن استخدام المتصفحات المصابة

هجمات DDoS

إغراق مروري·إساءة استخدام موزعة

يمكن تنسيق المتصفحات المصابة لقصف الأهداف بحركة مرور والمساعدة في إغراق الخدمات عبر الإنترنت.

وكلاء خبيثون

ترحيل الحركة·توجيه خفي

يمكن للمهاجمين تمرير حركة ضارة عبر أجهزة الضحايا، بما يحجب مصدرها الحقيقي خلف مستخدمين لا علم لهم بالأمر.

إعادات توجيه قسرية

اختطاف المستخدم·وجهات اعتباطية

قد يُدفَع الضحايا بصمت إلى مواقع أخرى تحت سيطرة المهاجمين أو يُستغلوا في حملات خبيثة أوسع.

ADVERTISEMENT

وتشمل التطبيقات الواقعية شن هجمات حجب الخدمة الموزعة (DDoS)، واستخدام الأجهزة المصابة كوكلاء لحركة ضارة، أو إعادة توجيه المستخدمين اعتباطيًا إلى مواقع ويب أخرى. وأشارت الباحثة إلى أن الوصول إلى عشرات الآلاف من مشاهدات الصفحات لبناء شبكة بوتنت كهذه يُعد سيناريو واقعيًا.

تأثير واسع النطاق عبر المتصفحات

ولأن Chromium يشكّل الأساس لكثير من أكثر المتصفحات استخدامًا في العالم، فإن نطاق التأثير واسع جدًا. فجميع المتصفحات المبنية على Chromium متأثرة، بما في ذلك Google Chrome وMicrosoft Edge وBrave وOpera وVivaldi وArc.

المتصفحات المتأثرة المذكورة في التقرير

المتصفح	المحرّك الأساسي	التعرّض الموصوف
Google Chrome	Chromium	متأثر
Microsoft Edge	Chromium	متأثر
Brave	Chromium	متأثر
Opera	Chromium	متأثر
Vivaldi	Chromium	متأثر
Arc	Chromium	متأثر

ADVERTISEMENT

ومما يثير القلق أن هذا الاستغلال أصبح أكثر تخفيًا بمرور الوقت. فقد كشفت اختبارات حديثة على Microsoft Edge أن نافذة التنزيل المنبثقة التي كانت تظهر سابقًا عند تفعيل الاستغلال لم تعد تظهر، مما يجعل الهجوم صامتًا تمامًا وغير مرئي للمستخدم.

كشف غير مقصود

أصبحت تفاصيل هذه «الثغرة الخطيرة» علنية بسبب خطأ إجرائي. فقد وُسِمَت المشكلة على أنها «أُصلحت» في نظام تتبّع العلل لدى Google في فبراير، رغم عدم طرح تصحيح لها. وبعد فترة انتظار معيارية مدتها 14 أسبوعًا مخصصة للعلل المُصلحة، رُفِعت قيود الوصول إلى التقرير تلقائيًا في 20 مايو.

ADVERTISEMENT

وبعد أن أكدت الباحثة أن الاستغلال لا يزال نشطًا، أعادت Google جعل التقرير خاصًا. لكن المعلومات ظلت علنية مدة كافية لانتشارها. ونظرًا إلى هذا التسريب، تتوقع الأوساط المعنية الآن أن تصدر Google تصحيحًا طارئًا وعاجلًا للتخفيف من هذا الخطر الكبير على المستخدمين.

قراءة مقترحة

جوجل تعرض تسوية بقيمة 135 مليون دولار لمستخدمي أندرويد بشأن جمع البيانات

قد يكون مستخدمو أندرويد في الولايات المتحدة مؤهلين للحصول على تعويض من تسوية بيانات جوجل البالغة 135 مليون دولار. تعرف على الأهلية، وكيفية المطالبة، وتغييرات السياسة.

ADVERTISEMENT

غضب إل نينيو: حدث "خارق" قد يحطم الأرقام القياسية والاستقرار العالمي

تُظهر توقعات ظاهرة النينيو زيادات غير مسبوقة في درجات الحرارة، مما يثير مخاوف بشأن الظواهر الجوية المتطرفة، والأمن الغذائي العالمي، وعدم الاستقرار الاقتصادي. يقارن الخبراء الحدث المحتمل بالكوارث التاريخية.

تحالف MIPI يوحد قادة الصناعة لتوحيد واجهات الروبوتات البشرية

تشكل تحالف MIPI مجموعة جديدة مع عمالقة التكنولوجيا مثل إنتل وسامسونج لتوحيد الواجهات للروبوتات الشبيهة بالبشر، بهدف تسريع نمو الصناعة.

ميتا تفتح تطوير التطبيقات لنظارات راي بان الذكية، مما يمهد الطريق لتجارب جديدة

تعلن ميتا أن المطورين يمكنهم الآن إنشاء تطبيقات لنظارات راي بان الذكية الخاصة بها، مما يتيح تجارب جديدة مستقلة ومتصلة للجهاز القابل للارتداء.

ADVERTISEMENT

سامسونج جالاكسي جلاسز تستعد للإطلاق في لندن هذا يوليو

من المقرر أن تكشف سامسونج عن أول نظارات ذكية لها، Galaxy Glasses، جنبًا إلى جنب مع هواتف قابلة للطي جديدة وساعة ذكية في حدث Unpacked في لندن يوم 22 يوليو. ستتميز النظارات بتكامل Android XR و Gemini AI.

ثلوج أنتاركتيكا تكشف أسرار رحلتنا بين النجوم

تحليل جديد للحديد-60 في جليد أنتاركتيكا يقدم دليلاً ملموساً على رحلة نظامنا الشمسي عبر السحابة البين نجمية المحلية. تعرف على ما يعنيه ذلك.

تشير سماعات WH-1000X المسرّبة من Sony إلى فئة فاخرة جديدة

تكشف التفاصيل المسرّبة عن سماعات Sony WH-1000X The ColleXion عن استراتيجية جديدة للفئة الفاخرة، تتميز بمعالجات متقدمة ومواد فاخرة وسعر أعلى.

ADVERTISEMENT

الروبوتات الشبيهة بالبشر: التحول من العروض التجريبية إلى التطبيق الميداني

تشهد صناعة الروبوتات الشبيهة بالبشر تحولًا من العروض المختبرية إلى التطبيق في العالم الحقيقي. تعرّف إلى أبرز التحديات ونماذج الأعمال وما يحدد ملامح هذه الحقبة الجديدة.

OpenAI تستعد لطرح كبير في السوق: مبتكرة ChatGPT تتطلع إلى طرح عام أولي

تستعد OpenAI، مبتكرة ChatGPT، بحسب تقارير، للتقدم قريبًا بطلب طرح عام أولي، في خطوة قد تمهد لتحرك كبير في السوق وتؤثر في تقييم قطاع الذكاء الاصطناعي.

نظارات Mentra Live الذكية تفتح الطريق أمام المعالجة دون اتصال لتعزيز الخصوصية والأداء

تقدّم نظارات Mentra Live الذكية حزمة تطوير برمجيات جديدة عبر Bluetooth للمعالجة دون اتصال، بما يعزّز الخصوصية والأداء عبر تقليل الاعتماد على السحابة في مهام الرؤية الحاسوبية.

ADVERTISEMENT