گوگل در اقدامی فوری و اضطراری، نخستین آسیبپذیری روز صفر مرورگر کروم در سال ۲۰۲۶ را برطرف کرد. این نقص امنیتی که با شناسه CVE-2026-2441 و امتیاز خطر ۸.۸ (بالا) ثبت شده، پیش از انتشار وصله توسط مهاجمان در حملات واقعی مورد سوءاستفاده قرار گرفته بود. به کاربران و مدیران سیستمها اکیداً توصیه میشود هرچه سریعتر مرورگر خود را به آخرین نسخه بهروزرسانی کنند.
به گزارش افتانا و به نقل از The Hacker News، این آسیبپذیری که از نوع «استفاده پس از آزادسازی حافظه» (Use-After-Free) در بخش CSS مرورگر کروم است، توسط شاهین فاظم، پژوهشگر امنیتی، در ۱۱ فوریه ۲۰۲۶ شناسایی و گزارش شد. گوگل تنها دو روز بعد، در ۱۳ فوریه، وصلهای اضطراری برای این نقص منتشر کرد .
جزئیات فنی آسیبپذیری روز صفر کروم
بر اساس توضیحات منتشرشده در پایگاه داده آسیبپذیریهای ملی آمریکا (NVD)، آسیبپذیری روز صفر کروم (CVE-2026-2441) به مهاجمان راهدور اجازه میدهد با استفاده از یک صفحه HTML دستکاریشده، کد دلخواه خود را داخل محیط ایزوله (سندباکس) مرورگر اجرا کنند .
خطای «استفاده پس از آزادسازی حافظه» زمانی رخ میدهد که نرمافزار به حافظهای دسترسی پیدا میکند که پیشتر آزاد شده است. اگرچه این مسئله معمولاً به کرش کردن برنامه منجر میشود، اما مهاجمان ماهر میتوانند از آن برای تزریق دستورات مخرب و اجرای کد دلخواه بهره ببرند .
حملات واقعی پیش از انتشار وصله
گوگل تأیید کرده است که نمونههایی از بهرهبرداری واقعی از این آسیبپذیری روز صفر کروم در حملات واقعی مشاهده شده است، اما بهدلیل سیاستهای افشای مسئولانه، جزئیاتی درباره نحوه سوءاستفاده، عاملان احتمالی یا اهداف حملات منتشر نکرده است . این اطلاعات معمولاً تا زمانی که اکثر کاربران وصله را نصب کنند، محرمانه باقی میماند تا مهاجمان نتوانند از آن برای ساخت اکسپلویت استفاده کنند .
کارشناسان امنیت سایبری هشدار میدهند که مرورگرها بهدلیل نصب بودن روی میلیونها دستگاه و دسترسی مداوم به محتوای اینترنت، همواره اهداف جذابی برای مهاجمان محسوب میشوند. یک کاربر میتواند صرفاً با بازدید از یک وبسایت مخرب، بدون کلیک روی هیچ گزینه دیگری، قربانی این آسیبپذیری شود .
نسخههای اصلاحشده و راهنمای بهروزرسانی
این آسیبپذیری روز صفر کروم در نسخههای زیر برطرف شده است :
- ویندوز و مکاواس: نسخههای 145.0.7632.75 و 145.0.7632.76
- لینوکس: نسخه 144.0.7559.75
- Extended Stable (ویندوز و مکاواس): نسخه 144.0.7559.177
کاربران برای بررسی و نصب آخرین نسخه میتوانند مراحل زیر را دنبال کنند :
- روی سهنقطه بالای مرورگر کلیک کنند
- به مسیر Help (کمک) و سپس About Google Chrome (درباره گوگل کروم) بروند
- مرورگر بهطور خودکار وجود بهروزرسانی را بررسی و در صورت نیاز آن را نصب میکند
- پس از اتمام نصب، گزینه Relaunch (اجرای مجدد) ظاهر میشود که باید روی آن کلیک کنند
هشدار به کاربران مرورگرهای مبتنی بر کرومیوم
این نقص امنیتی سایر مرورگرهای مبتنی بر پروژه متنباز کرومیوم مانند مایکروسافت اج، بریو، اپرا، اپرا جیایکس و ویوالدی را نیز تحت تأثیر قرار میدهد . به کاربران این مرورگرها نیز توصیه شده است بهمحض انتشار بهروزرسانیهای امنیتی، آنها را نصب کنند . مایکروسافت اعلام کرده که از این بهروزرسانی آگاه است و بهزودی وصله مشابهی برای مرورگر اج منتشر خواهد کرد .
آمار آسیبپذیریهای روز صفر کروم
این اولین آسیبپذیری روز صفر کروم در سال ۲۰۲۶ است که بهصورت فعال مورد سوءاستفاده قرار گرفته و سپس وصله شده است. گوگل در سال ۲۰۲۵ نیز هشت آسیبپذیری روز صفر مشابه را که در حملات واقعی استفاده شده بودند، برطرف کرده بود .
بهروزرسانی امنیتی اپل
همزمان با این رویداد، اپل نیز هفته گذشته بهروزرسانیهایی برای سیستمعاملهای خود منتشر کرد تا یک نقص امنیتی دیگر (CVE-2026-20700) را رفع کند. این آسیبپذیری که در حملاتی بسیار پیچیده علیه برخی دستگاههای دارای نسخههای قدیمیتر iOS مورد استفاده قرار گرفته بود، به مهاجمان اجازه میداد کد مخرب روی دستگاههای هدف اجرا کنند .
جمعبندی
با توجه به تأیید گوگل مبنی بر سوءاستفاده فعال از این آسیبپذیری روز صفر کروم، بهروزرسانی هرچه سریعتر مرورگر نه یک توصیه، بلکه یک ضرورت امنیتی است. کاربرانی که از مرورگرهای مبتنی بر کرومیوم استفاده میکنند نیز باید منتظر وصلههای مربوطه باشند. بهروز نگه داشتن مرورگر، یکی از مؤثرترین و سادهترین راههای محافظت در برابر تهدیدات سایبری پیشرفته است.
اخرین خبرهای هک و امنیت سایبری
