دفعت Google تحديثًا للطوارئ إلى المستخدم على نطاق واسع متصفح الكروم بعد تحديد ثغرة أمنية يوم صفر مستغلة في المنتج ، تم العثور على الرابع حتى الآن في عام 2025.
تم تتبعه كـ CVE-2025-6554، يوصف بأنه عيب في نوع الارتباك في محرك JavaScript الذي تم تطويره في Google والذي يقوم بتجميع وتنفيذ رمز JavaScript في المتصفحات القائمة على الكروم.
تم تحديده من قبل Clément Lecigne لمجموعة Google Threat Analysis’s Group في 25 يونيو ، وتم إصلاحه في اليوم التالي من خلال تغيير التكوين الذي تم دفعه الآن إلى القناة المستقرة على جميع الأنظمة الأساسية.
غادر دون رادع ، الولايات المتحدة قاعدة بيانات الضعف الوطنية وقال (NVD)-الذي يديره المعهد الوطني للمعايير والتكنولوجيا (NIST)-إن الضعف الرفيع في الصياغة يمكن أن يسمح للمهاجمين عن بُعد بأداء إجراءات القراءة التعسفية أو الكتابة عبر صفحة HTML مصنوعة خصيصًا.
وفقًا لشروط Layman ، فإن هذا يعني أن مستخدمي Chrome الضعيف الذين قاموا بزيارة موقع ويب يتم التحكم فيه عن مهاجم قد يتعرضون لهجمات يقوم فيها ممثلو التهديدات بتثبيت البرامج الضارة ، بما في ذلك برامج التجسس ، على أجهزتهم ، أو اتخاذ إجراءات ضارة أخرى مثل تجاوز القيود الأمنية لإجراء حركة جانبية أعمق في بيئتها أو الوصول إلى البيانات الوثيقة.
وقال Google في إشعار التحديث: “تدرك Google أن استغلال CVE-2025-6554 موجود في البرية”.
ومع ذلك ، نظرًا للتحديث قد يستغرق التحديث بعض الوقت لتصفية جميع مستخدمي Chrome ، لم تقدم Google تفاصيل فنية أخرى عن المشكلة التي تتجاوز حقيقة أن الاستغلال يبدو أنه يتم استخدامه في الهجمات الإلكترونية. لاحظ أن علامة Google تراقب بشكل متكرر وتقارير عن النشاط السيبراني المدعوم بالدولة ، ولكن هذا ليس بالضرورة مؤشرًا على الإسناد إلى أي صلة تهديد من هذا القبيل.
يمكن لمستخدمي Chrome التحقق مما إذا كان متصفحهم محدثًا أم لا من خلال التنقل إلى قائمة المساعدة عبر الرمز المكون من ثلاثة درجات في الزاوية اليمنى العليا من نافذة المتصفح الخاصة بهم ، ثم النقر على Google Chrome. في معظم الحالات ، يجب أن يؤدي القيام بذلك تلقائيًا إلى تحديث التحديث إذا لم يتم تطبيقه بعد.
ما هي نوع حشرات الارتباك نوع؟
تنشأ ضعف نوع الارتباك عندما يقوم البرنامج بافتراض غير دقيق حول نوع مورد الكائن ويحاول الوصول إليه أو استخدامه كما لو كان النوع المفترض. هذا يلقي الأخطاء والسلوكيات غير المرغوب فيها مثل الحوادث ، وفساد البيانات والوصول غير الصحيح للذاكرة ، أو في هذه الحالة ، تمكين تنفيذ التعليمات البرمجية التعسفية.
يمكن للمهاجمين الاستفادة من هذه الشروط من خلال كتابة رمز JavaScript محدد لإحداث افتراضات نوع غير صحيحة داخل V8.
تميل هذه الأخطاء إلى الظهور بلغات الترميز C و C ++ – Chrome و V8 كلاهما مكتوب في C ++ – التي تجعل آليات سلامة الذاكرة ، لكن وفقًا لسقرادار ، شوهد في رمز PHP و Perl أيضًا.
إلى جانب متصفحات الويب مثل Chrome أو Firefox أو Safari ، يمكن أن تحدث أيضًا في قراء PDF ، أو محركات JavaScript الأخرى إلى جانب V8 ، أو مكونات نظام التشغيل.
يمكن للمطورين تجنب إدخال عيوب الارتباك نوعًا في برامجهم من خلال إجراء فحص النوع المناسب في الترجمة ووقت التشغيل ، باستخدام لغات آمنة من الذاكرة إن أمكن ، وتطبيق عمليات التحقق من نوع وقت التشغيل ، وتجري مراجعات التعليمات البرمجية التي تركز على نوع الصب ، واستخدام أدوات التحليل الثابت لاكتشاف المشكلات المحتملة أسفل الخط.
