تحديث أندرويد لشهر يونيو من جوجل يصحح ثغرة تصعيد صلاحيات من نوع zero-click يتم استغلالها بنشاط
نشرة أندرويد الأمنية لشهر يونيو 2026 من جوجل تصحح CVE-2025-48595، وهي ثغرة حرجة من نوع zero-click لتصعيد الصلاحيات في Android Framework تؤكد الشركة أنه يتم استغلالها في هجمات موجهة. أضافت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) هذه الثغرة إلى كتالوج الثغرات المستغلة المعروفة (KEV) لديها، وهو أقرب ما يكون إلى توجيه رسمي "صحح فوراً" من السلطات الاتحادية للأمن السيبراني.
يعني zero-click أنه لا يلزم أي تفاعل من المستخدم. لا يحتاج المهاجم إلى خداع الضحية لفتح رابط أو تثبيت تطبيق أو منح إذن. وبالاقتران مع تصعيد الصلاحيات — أي القدرة على الترقية إلى وصول على مستوى النظام — تصبح هذه الفئة من الثغرات من بين الأخطر في أمن الهواتف المحمولة. النتيجة العملية هي أنه يمكن اختراق جهاز مستهدف دون أن يتخذ المالك أي إجراء قد يشير إلى وقوع هجوم.
ما المتأثر
تؤثر CVE-2025-48595 على الأجهزة التي تعمل بنظام أندرويد 14 و15 و16 و16 QPR2. تنشر نشرة الأمن لشهر يونيو 2026، التي صدرت في 1 يونيو وتم تحديثها في 3 يونيو، 124 ثغرة إجمالاً عبر مكونات Framework والنظام والنواة في أندرويد. مستوى التصحيح الأمني 2026-06-05 أو أحدث يحل جميع المشكلات المبلغ عنها في هذه النشرة.
يمكن للمستخدمين التحقق من مستوى التصحيح لديهم بالانتقال إلى الإعدادات → حول الهاتف → إصدار أندرويد → مستوى تصحيح الأمان. على الأجهزة التي تتلقى تحديثات أندرويد الأمنية الشهرية مباشرة من جوجل — هواتف Pixel وبعض هواتف سامسونج جالاكسي الرائدة — يتم طرح التحديث الآن. قد تستغرق أجهزة الشركات المصنعة الأخرى عدة أسابيع أطول حسب جداول تحديث شركات الاتصالات والشركة المصنعة.
ماذا يعني إدراج CISA في KEV
كتالوج الثغرات المستغلة المعروفة (KEV) التابع لـ CISA هو قائمة تصحيح إلزامية للوكالات الاتحادية الأمريكية، مع مواعيد نهائية ملزمة للتصحيح. عندما تضيف CISA ثغرة إلى كتالوج KEV، فهذا يعني أن الوكالة أكدت وجود استغلال فعلي في العالم الحقيقي — وليس خطراً نظرياً — بمستوى ثقة كافٍ لفرض مواعيد نهائية للتصحيح الاتحادية.
بالنسبة للمنظمات المدنية، فإن إدراج CISA في KEV هو بمثابة توصية عالية الأولوية: هذه الثغرة يتم تسليحها بنشاط. لغة الإفصاح الخاصة بجوجل — "استغلال محدود وموجه" — تشير إلى أن هذه ليست حملة استغلال جماعية بعد، بل هي هجمات مرتبطة على الأرجح بمشغلي برامج التجسس التجارية أو جهات حكومية تحصل أو تكتشف بشكل روتيني ثغرات zero-click للأجهزة المحمولة للتجسس المستهدف.
لا يوجد حل بديل: التحديث هو الإصلاح الوحيد
لا يوجد تغيير في التكوين أو إجراء تخفيف من جانب المستخدم يمكنه إغلاق هذه الثغرة. لا يمكن عزل مكون Android Framework الذي توجد فيه الثغرة أو تعطيله دون تعطيل وظائف النظام الأساسية. الحماية الوحيدة هي تطبيق التصحيح الأمني لشهر يونيو 2026.
يجب أن يدرك المستخدمون الذين لا يستطيعون التحديث فوراً — لأن الشركة المصنعة لأجهزتهم لم تصدر التصحيح بعد — أن هذا سيناريو استغلال نشط، وليس خطراً نظرياً في المستقبل. الأفراد الذين يمثلون أهدافاً عالية القيمة للمراقبة (الصحفيون، المديرون التنفيذيون، النشطاء، المسؤولون الحكوميون) يواجهون أكبر خطر من هذه الفئة من ثغرات zero-click المستهدفة، حيث أن هذه الهجمات عادة ما تكون مكلفة للنشر وتكون موجهة وليست عشوائية.
تصحح نشرة يونيو أيضاً CVE-2026-28577، وهي ثغرة لتصعيد الصلاحيات عبر tapjacking، والعديد من القضايا عالية الخطورة الأخرى عبر مكونات النواة والوسائط. يجب على أي جهاز أندرويد يمكنه تلقي تصحيح يونيو 2026 القيام بذلك بمجرد توفره من الشركة المصنعة.
Originally reported by The Hacker News. Read the original article for additional details.
View original source