کمیته رکن چهارم – گوگل یک بهروزرسانی امنیتی اضطراری برای مرورگر Chrome منتشر کرده است تا دو آسیبپذیری با شدت بالا را که در حملات Zero-Day مورد سوءاستفاده قرار گرفتهاند، برطرف کند.
به گزارش کمیته رکن چهارم، گوگل اعلام کرده از وجود اکسپلویت فعال برای دو آسیبپذیری CVE-2026-3909 و CVE-2026-3910 در دنیای واقعی آگاه است.
یکی از این آسیبپذیریها با شناسه CVE-2026-3909 یک نقص Out-of-bounds write در کتابخانه Skia است. این کتابخانه متنباز برای رندر گرافیک دوبعدی و عناصر رابط کاربری در Chrome استفاده میشود و سوءاستفاده از آن میتواند باعث کرش مرورگر یا اجرای کد مخرب روی سیستم قربانی شود.
آسیبپذیری دوم با شناسه CVE-2026-3910 مربوط به یک پیادهسازی نامناسب در موتور V8 JavaScript و WebAssembly است. موتور V8 هسته اجرای JavaScript در Chrome محسوب میشود و بهرهبرداری از این نقص میتواند به مهاجمان اجازه دهد رفتار مرورگر را دستکاری کرده یا حملات پیچیدهتری اجرا کنند.
گوگل اعلام کرده این آسیبپذیریها را در کمتر از دو روز پس از کشف اصلاح کرده است. نسخههای جدید Chrome که این اصلاحات را شامل میشوند عبارتاند از:
-
Windows: 146.0.7680.75
-
macOS: 146.0.7680.76
-
Linux: 146.0.7680.75
این نسخهها در کانال Stable Desktop منتشر شدهاند.
کاربران برای دریافت این بهروزرسانی میتوانند به بخش Settings > About Chrome مراجعه کرده و پس از نصب نسخه جدید، مرورگر را ریاستارت کنند. در غیر این صورت، Chrome بهطور خودکار در اجرای بعدی مرورگر بهروزرسانی را نصب خواهد کرد.
گوگل اعلام کرده جزئیات فنی این آسیبپذیریها بهطور موقت محدود شده است تا زمانی که اکثریت کاربران مرورگر خود را به نسخه امن بهروزرسانی کنند.
این دو نقص دومین و سومین آسیبپذیری Zero-Day فعال در Chrome در سال ۲۰۲۶ محسوب میشوند. پیش از این نیز گوگل آسیبپذیری CVE-2026-2441 را که در February 2026 کشف شده بود اصلاح کرده بود.
گوگل همچنین اعلام کرده در سال ۲۰۲۵ بیش از ۱۷ میلیون دلار از طریق برنامه Vulnerability Reward Program (VRP) به ۷۴۷ پژوهشگر امنیتی پرداخت کرده است.
کارشناسان امنیتی توصیه میکنند کاربران مرورگر Chrome خود را در اسرع وقت به آخرین نسخه بهروزرسانی کنند، زیرا این آسیبپذیریها هماکنون در حملات واقعی مورد سوءاستفاده قرار گرفتهاند.
منبع: BleepingComputer
