هشدار آسیب پذیری گوگل برای 3.5 میلیارد کاربر مرورگر کروم

کمپانی گوگل با شناسایی دو آسیب پذیری روز صفر، برای بیش از 3.5 میلیارد کاربر هشدار صادر کرد. مشکل از کجاست و باید چه اقداماتی انجام داد؟

پس از تأیید دو آسیب‌ پذیری روز صفر در مرورگر کروم که هم‌ اکنون هکرها در حال سوء استفاده از آن‌ها هستند، گوگل به‌روزرسانی امنیتی اضطراری منتشر کرده و جزئیاتی از میلیون‌ها دلاری که برای گزارش این آسیب‌پذیری‌ها پرداخت کرده، ارائه داده است.

به طور معمول از سال ۲۰۲۳ گوگل به‌روزرسانی‌های هفتگی امنیتی کروم را ارائه می‌کند، اما وقتی دومین به‌روزرسانی تنها 48 ساعت پس از اولین به‌روزرسانی منتشر می‌شود، نشان‌دهنده یک مشکل جدی است. گوگل تأیید کرده که دو آسیب‌پذیری روز صفر فعال وجود دارد و هکرها از این منبع در حال تغذیه کردن هستند.

فهرست مطالب

هشدار آسیب پذیری گوگل برای مرورگر کروم

براساس اعلام کمپانی گوگل، از نسخه Chrome 153، به‌روزرسانی‌های پایدار کروم به هر دو هفته یک‌ بار تغییر خواهند کرد تا سرعت انتشار وصله‌های امنیتی دو برابر شود. نمونه اخیر، به‌روزرسانی 10 مارس است که شامل 29 رفع آسیب‌پذیری بود. همچنین به‌روزرسانی پیشین در 3 مارس منتشر شده بود.

اکنون، گوگل یک به‌روزرسانی اضطراری برای پوشش CVE-2026-3909 و CVE-2026-3910 ارائه کرده که هر دو Zero-Day هستند. این بدان معناست که هکرها پیش از انتشار وصله و حتی پیش از اطلاع گوگل از وجود آسیب‌پذیری‌ها در جریان بوده‌اند.

بیشتر بخوانید

• کارمندان گوگل، آمازون و مایکروسافت علیه همکاری فناوری با جنگ اعتراض کردند
• فرار بزرگ از خاورمیانه؛ وال‌استریت ژورنال از عملیات نجات کارکنان گوگل پرده برداشت

مهاجمان در حال سوء استفاده از یک باگ جدید

با این حال، همان‌طور که گوگل گفته، دسترسی کامل به جزئیات فنی روز صفر محدود باقی خواهد ماند تا زمانی که اکثریت کاربران وصله امنیتی دریافت کنند. با این حال، اطلاعاتی که تاکنون منتشر شده به ما تصویر اولیه‌ای از وضعیت ارائه می‌دهد.

اولا، هر دو آسیب‌پذیری شدید هستند و بخش‌های کلیدی زیرساخت کروم را هدف قرار می‌دهند. دوما، برخلاف اکثر روزهای صفر که توسط محققان امنیتی خارجی کشف می‌شوند، این دو توسط خود گوگل شناسایی شده‌اند.

آسیب‌پذیری CVE-2026-3909 نوعی آسیب خارج از محدوده حافظه است که معمولا امکان اجرای کد از راه دور را فراهم می‌کند. این مشکل در کتابخانه گرافیکی Skia کروم قرار دارد، بخشی که هم برای رندر کردن رابط کاربری و هم محتوای وب استفاده می‌شود. سوء استفاده از آن می‌تواند تنها با بازدید کاربر از یک وب‌سایت مخرب رخ دهد و مشابه آسیب‌پذیری CVE-2026-3913 که در 12 مارس هشدار داده شد است.

آسیب‌پذیری CVE-2026-3910 در موتور جاوا اسکریپت کروم قرار دارد که یکی از بخش‌های حیاتی مرورگر محسوب می‌شود و همواره مورد توجه هکرهاست. براساس توضیح OpenCVE، این یک نقص ناشی از پیاده‌سازی نادرست است و مهاجم می‌تواند با بازدید کاربر از یک صفحه HTML مخرب، کد دلخواه خود را در محیط سندباکس اجرا کند.

بیشتر بخوانید

• ساعت هوشمند شیائومی واچ 5 با Wear OS 6 و هوش مصنوعی گوگل جمنای معرفی شد
• مقایسه Gemini 3.1 Pro و Gemini 3 Pro: هوش مصنوعی جدید گوگل کندتر و باهوش‌تر شد

پاداش گوگل به محققان امنیتی

با وجود اینکه دو Zero-Day جدید توسط خود گوگل کشف شده‌اند، برنامه Vulnerability Reward Program یا VRP گوگل که به محققان امنیتی پاداش نقدی می‌دهد، سال گذشته ۱۵ ساله شد. طی این مدت، بیش از ۸۱ میلیون دلار به محققان اهدا شده و تنها در سال ۲۰۲۵، بیش از ۱۷ میلیون دلار پرداخت شده است.

بزرگترین جایزه سال ۲۰۲۵ به دو محقق تعلق گرفت که توانستند باگ‌های منطقی در مکانیسم‌های ارتباط بین‌ فرآیندی کروم را شناسایی کرده و نحوه بهره‌برداری از آن‌ها را نشان دهند. در مجموع، بیش از ۱۰۰ محقق امنیتی برای آسیب‌پذیری‌های کروم بیش از ۳.۷ میلیون دلار دریافت کردند.

این برنامه محدود به کروم نیست، اما گوگل برنامه‌ای ویژه برای مرورگر کروم و همچنین جوایز مرتبط با هوش مصنوعی دارد. محققان برتر کروم روی تمام بخش‌ها از امنیت حافظه و fuzzing تا مشکلات رابط کاربری کار کردند. تاکنون برنامه VRP مرتبط با هوش مصنوعی ۳۵۰,۰۰۰ دلار پرداخت کرده است.

اگر فکر می‌کنید کروم به دلیل تعداد آسیب‌پذیری‌ها ناامن است، باید بگویم کاملا برعکس است. کشف زودهنگام باگ‌ها توسط محققان داخلی و خارجی، باعث شده کروم امن‌تر از بسیاری مرورگرها باشد. هدف گوگل این است که همیشه پیشرو تهدیدات نوظهور باشد، فناوری‌های جدید را دنبال کند و امنیت محصولات خود را تقویت کند و این تنها با همکاری جامعه امنیتی ممکن است.

بیشتر بخوانید

• گوگل از مدل جدید هوش مصنوعی Nano Banana 2 با سرعت بیشتر رونمایی کرد
• اشتراک گذاری لوکیشن زنده به گوگل مسیج می‌آید؛ پایان عقب‌ماندگی از رقبا

کاربران گوگل کروم چه اقداماتی باید انجام دهند؟

شاید فکر کنید که کاری لازم نیست، چون گوگل به‌روزرسانی امنیتی را برای همه کاربران شروع کرده، اما اوضاع کمی پیچیده‌تر از تصور شماست:

• انتشار به‌روزرسانی در روزها یا هفته‌های آینده به‌ صورت مرحله‌ای انجام می‌شود؛ بنابراین، ممکن است هنوز برای همه کاربران در دسترس نباشد.
• پس از دریافت به‌روزرسانی، مرورگر خود را حتما ری‌ استارت کنید تا وصله امنیتی فعال شود.

به‌ عبارت دیگر، مهم است که بعد از رسیدن آپدیت، کروم را ببندید و دوباره باز کنید تا در برابر حملات ناشی از Zero-Day محافظت شوید. برای بار دوم تأکید می‌کنیم که این آسیب‌پذیری‌ها را نباید دست کم بگیرید و بهترین کار در حال حاضر این است که مرورگر کروم خود را بررسی کرده و به روزرسانی کنید. برای انجام این کار مراحل زیر را طی کنید:

1. روی منوی سه‌ نقطه در بالای کروم کلیک کنید.
2. مسیر Help → About Google Chrome را انتخاب کنید.
3. مرورگر بررسی می‌کند که آیا آخرین نسخه موجود است یا خیر (برای ویندوز/مک: 146.0.7680.75/76 و برای لینوکس: 146.0.7680.75)
4. اگر آپدیت امنیتی نصب نشده باشد، به‌ صورت خودکار دانلود و نصب خواهد شد.

بیشتر بخوانید

• گوگل اپلیکیشن هواشناسی محبوب Weather را از اندروید حذف می‌کند
• گوگل Gemini 3.1 Pro را معرفی کرد: مدلی هوشمندتر برای پیچیده‌ترین وظایف