انتشار پچ اضطراری گوگل برای چهارمین روز صفر سال ۲۰۲۶

شرکت گوگل با انتشار یک به‌روزرسانی اضطراری برای مرورگر Google Chrome، به ترمیم ۲۱ نقص امنیتی پرداخته است که در میان آن‌ها، یک آسیب‌پذیری روز صفر (Zero-day) با بهره‌برداری فعال در سطح وب دیده می‌شود. این حفره امنیتی که با شناسه CVE-2026-5281 ردیابی شده، به مهاجمان اجازه می‌دهد تا از طریق صفحات وب دستکاری‌شده، کدهای مخرب خود را روی سیستم قربانیان اجرا کنند. آژانس امنیت سایبری آمریکا (CISA) نیز با قید فوریت این باگ را به کاتالوگ آسیب‌پذیری‌های شناخته‌شده اضافه کرده است.

۱. تحلیل CVE-2026-5281: سوءاستفاده از استاندارد گرافیکی WebGPU

این آسیب‌پذیری از نوع استفاده پس از آزادسازی حافظه (Use-After-Free) است و در کامپوننت Dawn رخ می‌دهد. دان (Dawn) یک پیاده‌سازی متن‌باز و چندپلتفرمی از استاندارد مدرن گرافیکی WebGPU در مرورگر کروم است.

• مکانیسم حمله: بر اساس مستندات پایگاه ملی آسیب‌پذیری‌ها (NVD)، یک مهاجم از راه دور که فرآیند رندرر(Renderer Process)  مرورگر را تحت کنترل یا آسیب قرار داده باشد، می‌تواند با ترغیب کاربر به بازدید از یک صفحه HTML آلوده و دستکاری‌شده، کدهای دلخواه خود را روی سیستم هدف اجرا کند(Arbitrary Code Execution).
• سیاست سکوت گوگل: طبق روال همیشگی، گوگل جزئیات فنی بیشتری از نحوه بهره‌برداری و هویت مهاجمان منتشر نکرده است تا به کاربران فرصت کافی برای به‌روزرسانی داده شود و از موج‌سواری سایر گروه‌های هکری جلوگیری به عمل آید.
  
  

۲. سال سیاه کروم؛ چهارمین ابزار جنگی هکرها در سال ۲۰۲۶

نکته نگران‌کننده برای تحریریه ۲۴ نیوز، سرعت بالای کشف و بهره‌برداری از روزهای صفر در سال جاری است. این باگ، چهارمین آسیب‌پذیری روز صفر کروم از ابتدای سال ۲۰۲۶ تاکنون است که توسط مهاجمان سلاح‌سازی (Weaponized) شده است. گوگل پیش از این در ماه فوریه باگ کامپوننت CSS شناسه CVE-2026-2441 و مدتی قبل دو حفره خطرناک دیگر CVE-2026-3909 و CVE-2026-3910 را لکه‌گیری کرده بود.

۳. ورود قاطعانه CISA و ضرب‌الاجل فدرال

به دلیل ماهیت خطرناک این باگ، آژانس CISA در تاریخ ۱ آوریل ۲۰۲۶، این شناسه را به کاتالوگ آسیب‌پذیری‌های سوءاستفاده‌شده (KEV) اضافه کرد و به تمامی آژانس‌های فدرال دستور داد تا حداکثر تا ۱۵ آوریل نسبت به اعمال پچ اقدام کنند. از آنجایی که موتور لایه‌ای کروم (Chromium) پایه و اساس مرورگرهای دیگری نظیر مایکروسافت اج (Edge)، بریو (Brave)، اپرا (Opera) و ویوالدی (Vivaldi) است، کاربران این مرورگرها نیز به محض ارائه آپدیت توسط شرکت‌های سازنده باید سیستم خود را به‌روز کنند.

توصیه پیشگیرانه تحریریه ۲۴ نیوز به کاربران و ادمین‌ها:

برای جلوگیری از هرگونه نفوذ بر بستر مرورگر، اقدامات زیر را فورا انجام دهید:

1. به‌روزرسانی آنی مرورگر: در ویندوز و مک، به مسیر More > Help > About Google Chrome بروید و اجازه دهید کروم به نسخه 146.0.7680.177/.178 یا بالاتر آپدیت شود و سپس مرورگر را Relaunch  کنید.
2. آپدیت مرورگرهای هم‌خانواده: مرورگرهای Edge و Brave خود را نیز به آخرین نسخه‌های پایه کرومیوم مجهز کنید.

برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)