كشفت منصة The Hacker News عن ثغرة أمنية خطيرة في متصفح جوجل كروم، حيث كانت هذه الثغرة تسمح لبعض الإضافات الخبيثة بزيادة صلاحياتها والوصول إلى ملفات محلية على جهاز المستخدم، واستغلت هذه الثغرة لوحة Gemini الجديدة داخل المتصفح.
تفاصيل الثغرة الأمنية
الثغرة تحمل الرقم CVE-2026-0628 وتقييم خطورتها هو 8.8 على مقياس CVSS، وقد وُصفت بأنها نتيجة قصور في تطبيق السياسات داخل وسم WebView المسؤول عن عرض المحتوى داخل كروم.
استغلال الثغرة بواسطة الإضافات الخبيثة
أشارت قاعدة البيانات الوطنية للأعطال NVD إلى أن المشكلة كانت تسمح لمهاجم بإقناع المستخدم بتثبيت إضافة خبيثة، مما يمكّنه من حقن شفرات JavaScript أو محتوى HTML داخل صفحات ذات صلاحيات أعلى، وهذا يتم من خلال امتداد كروم مصمم خصيصًا لاستغلال الخلل في WebView، وقد أكد التقرير أن الاستغلال الناجح يمكّن الإضافة من تنفيذ شفرات داخل لوحة Gemini الموجودة على العنوان gemini.google[.]com/app، مما يتيح لها الوصول إلى قدرات أكبر من المفترض أن تكون محجوزة لواجهة Gemini فقط، بما في ذلك إمكانية الوصول إلى ملفات محلية على النظام في بعض الحالات.
تجاوز صلاحيات الإضافات
تعمل إضافات كروم عادة ضمن مجموعة محددة من الصلاحيات التي يوافق عليها المستخدم، لكن الثغرة CVE-2026-0628 كانت تقوّض هذا النموذج، حيث تمكّن امتداد يملك صلاحيات أساسية عبر واجهة declarativeNetRequest من الوصول غير المباشر إلى إمكانات إضافية عبر لوحة Gemini، وأشار الباحث الأمني Tal Weizman إلى أن تحميل تطبيق Gemini داخل مكوّن اللوحة الجديد في كروم يمنحه ربطًا بخدمات وقدرات قوية، وأن نجاح الإضافة في حقن كود داخل هذه اللوحة يفتح الباب أمام تنفيذ أوامر لم يكن من المفترض أن تكون في متناول الامتداد وفق نموذج الأمان التقليدي للمتصفح.
إغلاق الثغرة من قبل جوجل
أكد التقرير أن جوجل أصدرت تصحيحًا للثغرة في أوائل يناير 2026 مع إصدار كروم 143.0.7499.192/193 على ويندوز وماك، وإصدار 143.0.7499.192 على لينكس، مما يعني أن الإصدارات الأحدث من هذه النسخ تحتوي بالفعل على الإصلاح ولا تتأثر بالثغرة، أوضحت الشركة أن الاستغلال يتطلب من المهاجم أولًا إقناع المستخدم بتثبيت إضافة خبيثة أو اختراق إضافة موجودة، ثم استغلال ضعف السياسات داخل WebView للوصول إلى لوحة Gemini، ودعت المستخدمين إلى تحديث كروم بانتظام وحذف الإضافات المشبوهة أو غير الضرورية.