الخلاصة الرئيسية: أنتج مارس 2026 حصادًا مركزًا من ثغرات يوم الصفر: ثغرتان في Chrome مُستغلتان بنشاط (CVE-2026-3909 وCVE-2026-3910)، وثغرة Qualcomm في Android تحت استغلال مُستهدف (CVE-2026-21385) تؤثر على أكثر من 230 شريحة، وثغرة تصعيد امتيازات في SQL Server مكشوفة علنيًا (CVE-2026-21262) بدرجة CVSS 8.8 — جميعها مُصححة وجميعها تتطلب إجراءً فوريًا.
ثلاث ثغرات مُستغلة بنشاط واثنتان مكشوفتان علنيًا، في شهر واحد
لم يكن مارس 2026 شهرًا هادئًا لفرق إدارة الثغرات. عبر Google Chrome وAndroid وMicrosoft SQL Server، تطلبت ثلاث ثغرات يوم صفر مُستغلة بنشاط وثغرتان مكشوفتان علنيًا دورات تصحيح طارئة، مع إضافة CISA لعدة إدخالات في كتالوج الثغرات المُستغلة المعروفة (KEV).
كل ثغرة تستهدف طبقة مختلفة من مكدس المؤسسة — المتصفح، الجهاز المحمول، قاعدة البيانات — مما يعني أنه لا يوجد دورة تصحيح واحدة تغطي كل التعرض. المؤسسات التي تستخدم Chrome على أجهزة سطح المكتب وأجهزة Android في الميدان وخوادم SQL Server الخلفية احتاجت لتنسيق ثلاثة مسارات معالجة متميزة في شهر واحد.
إليكم ما تم استغلاله، وكيف، وما يجب على المدافعين فعله.
Chrome: ثغرتا يوم صفر في V8 وSkia
أصدرت Google تحديثًا طارئًا لـ Chrome في 13 مارس 2026، مُصححة ثغرتين تأكد استغلالهما في البرية. حصلت كلتاهما على درجة ثغرة Qualys (QVS) 95 من 100.
CVE-2026-3910 — محرك JavaScript V8
النوع: تطبيق غير مناسب في V8 التأثير: تنفيذ تعليمات عشوائية داخل صندوق حماية المتصفح ناقل الهجوم: صفحة HTML مُصاغة
تستهدف CVE-2026-3910 محرك JavaScript وWebAssembly V8 في Chrome — المكون المسؤول عن تنفيذ كل JavaScript في كل صفحة ويب. يمكن لصفحة HTML مُصاغة خصيصًا تفعيل الثغرة، مما يسمح لمهاجم بعيد بتنفيذ تعليمات عشوائية داخل صندوق حماية المتصفح.
ثغرات V8 مطلوبة بشدة من مطوري الاستغلالات لأن تنفيذ JavaScript شامل عبر كل نشاط تصفح. يحتاج المهاجم فقط إلى إقناع الهدف بزيارة صفحة خبيثة أو حقن الحمولة في موقع شرعي مُخترق.
أكدت Google صراحة أن “استغلالات لـ CVE-2026-3910 موجودة في البرية” لكنها حجبت التفاصيل عن حملات الاستغلال والجهات الفاعلة — ممارسة قياسية لمنع المزيد من التسليح.
CVE-2026-3909 — مكتبة الرسوميات ثنائية الأبعاد Skia
النوع: كتابة خارج الحدود في Skia التأثير: تلف الذاكرة، احتمال تنفيذ تعليمات عن بُعد ناقل الهجوم: صفحة HTML مُصاغة
تتولى مكتبة الرسوميات Skia كل عمليات العرض في Chrome — النصوص والصور وSVG وعناصر canvas. CVE-2026-3909 هي ثغرة كتابة خارج الحدود تسمح لمهاجم بعيد بكتابة بيانات تتجاوز حدود الذاكرة المقصودة عبر صفحة HTML مُصاغة.
الكتابة خارج الحدود في مكتبات الرسوميات خطيرة بشكل خاص لأن العرض مستمر وتلقائي. على عكس استغلالات JavaScript التي تتطلب تنفيذ كود محدد، يمكن تفعيل ثغرات Skia ببساطة عبر عرض صورة أو عنصر رسومي خبيث مُضمن في أي صفحة ويب.
التصحيحات والمواعيد النهائية
أصدرت Google في البداية الإصدار 146.0.7680.75/76 في 12 مارس، تلاه 146.0.7680.80 في 14 مارس الذي تضمن الإصلاح الكامل لكلا الثغرتين. أضافت CISA كلا الثغرتين إلى كتالوج الثغرات المُستغلة المعروفة في 13 مارس 2026، محددة موعدًا نهائيًا للمعالجة في 27 مارس 2026 للوكالات الفيدرالية.
يجب أن تتحقق عمليات نشر Chrome المؤسسية من أن جميع المتصفحات المُدارة تعمل بالإصدار 146.0.7680.80 أو أحدث. يجب على المؤسسات التي تستخدم متصفحات قائمة على Chromium (Edge، Brave، Opera) التحقق من تصحيحاتها اللاحقة، حيث أن V8 وSkia مكونات مشتركة.
Android: ثغرة Qualcomm الرسومية تحت استغلال مُستهدف
CVE-2026-21385 — مكون Qualcomm الرسومي الفرعي
النوع: فيضان عدد صحيح في تعريف GPU Qualcomm التأثير: تلف الذاكرة، تصعيد امتيازات محلي ناقل الهجوم: تطبيق خبيث أو كود محلي يرسل بيانات مُصاغة لتعريف الرسوميات النطاق: أكثر من 230 شريحة Qualcomm متأثرة
صحح نشرة أمان Android لمارس 2026 عدد 129 ثغرة عبر مستويين من تصحيحات الأمان (2026-03-01 و2026-03-05). من بينها، تبرز CVE-2026-21385 كالثغرة الوحيدة المؤكد استغلالها بنشاط.
تقع الثغرة في مكون رسوميات/عرض مفتوح المصدر من Qualcomm يستخدمه أكثر من 230 طراز شريحة مختلف. وصفتها Qualcomm بأنها فيضان عدد صحيح يمكن أن يستغله مهاجم محلي لتفعيل تلف ذاكرة مُتحكم فيه.
ناقل الهجوم “المحلي” يعني أن المهاجم يحتاج إلى كود يعمل على الجهاز — عادة عبر تطبيق خبيث مُثبت من مصدر طرف ثالث، أو كجزء من سلسلة استغلال متعددة المراحل حيث تقدم ثغرة المتصفح أو المراسلة الحمولة الأولية، وتوفر CVE-2026-21385 تصعيد الامتيازات اللازم للهروب من صندوق حماية التطبيق.
تشير نشرة أمان Google إلى “استغلال محدود ومُستهدف”، مما يشير عادة إلى عدد صغير من الأهداف عالية القيمة — صحفيون ومعارضون ومسؤولون حكوميون — بدلًا من هجمات جماعية على المستهلكين. هذا النمط متسق مع بائعي برامج التجسس التجارية المتخصصين في سلاسل استغلال Android للمراقبة المُستهدفة.
الجدول الزمني
- 18 ديسمبر 2025 — فريق أمان Android في Google يُنبه Qualcomm.
- 2 فبراير 2026 — Qualcomm تُخطر عملاء OEM.
- 3 مارس 2026 — CISA تضيف CVE-2026-21385 إلى كتالوج KEV، محددة موعدًا نهائيًا للمعالجة في 24 مارس 2026.
- 5 مارس 2026 — التصحيحات متاحة في مستوى تصحيح أمان Android 2026-03-05.
تحديات المعالجة
نظام تحديثات Android المُجزأ يعني أن توفر التصحيح لا يساوي نشره. أجهزة Google Pixel تلقت تحديث مارس بسرعة. Samsung وOnePlus وغيرها من كبار OEM تتبع عادة خلال أسبوعين إلى أربعة أسابيع. أجهزة الميزانية والطرازات القديمة من الشركات الأصغر قد لا تتلقى التصحيح أبدًا.
يجب على المؤسسات ذات سياسات BYOD التحقق من أن الأجهزة المسجلة تعمل بمستوى تصحيح أمان 2026-03-05 على الأقل. الأجهزة التي لا يمكن تحديثها يجب تقييدها من الوصول إلى الموارد المؤسسية الحساسة.
إعلان
SQL Server: تصعيد الامتيازات يصبح علنيًا
CVE-2026-21262 — تصعيد امتيازات SQL Server
النوع: تحكم وصول غير مناسب التأثير: اختراق كامل لمثيل قاعدة البيانات من وصول مصادق بامتيازات منخفضة CVSS: 8.8 (مرتفع) حالة الاستغلال: مكشوفة علنيًا، غير مؤكدة كمُستغلة بنشاط عند الإصدار
عالج Patch Tuesday لشهر مارس 2026 من Microsoft بين 79 و84 ثغرة (تختلف الأعداد حسب المنهجية)، بما في ذلك ثغرتا يوم صفر مكشوفتان علنيًا. CVE-2026-21262 هي الأكثر أهمية من الاثنتين.
تسمح الثغرة لمستخدم SQL Server مصادق بامتيازات منخفضة بتصعيد امتيازاته عبر الشبكة إلى أعلى دور مُدمج — sysadmin — على مثيل قاعدة البيانات. يمنح الاستغلال الناجح المهاجم القدرة على قراءة أو تعديل أو حذف أي بيانات في قواعد البيانات؛ وإنشاء تسجيلات دخول جديدة؛ وتعديل الأذونات الموجودة؛ ونشر كائنات خبيثة مثل المُشغلات أو الإجراءات المخزنة للحفاظ على الاستمرارية.
يتطلب الهجوم اتصالًا على مستوى الشبكة بمثيل SQL Server متأثر وتسجيل دخول SQL صالح بامتيازات محدودة. لا يمكن استغلاله مجهولًا. ومع ذلك، فإن الجمع بين الكشف العلني ودرجة CVSS 8.8 يجعلها هدفًا جاذبًا للحركة الجانبية بعد الاختراق في البيئات حيث بيانات اعتماد SQL Server متاحة بالفعل عبر وصول سابق.
الإصدارات المتأثرة والتصحيحات
أصدرت Microsoft تحديثات أمنية عبر مصفوفة دعم SQL Server الكاملة:
| الإصدار | مسار التحديث | مقال KB |
|---|---|---|
| SQL Server 2016 SP3 | GDR | KB5077474 |
| SQL Server 2017 | CU31 | KB5077471 |
| SQL Server 2019 | CU32 | KB5077469 |
| SQL Server 2022 | CU23 / GDR | KB5077464 / KB5077465 |
| SQL Server 2025 | CU2 / GDR | KB5077466 / KB5077468 |
التحديثات متاحة لنشرات Windows وLinux. يجب على المؤسسات التي تشغل SQL Server في الإنتاج إعطاء الأولوية لهذا التصحيح — الكشف العلني يزيد احتمال التسليح حتى بدون استغلال مؤكد في البرية عند الإصدار.
المشهد الأوسع لتصحيحات مارس 2026
بالإضافة إلى ثغرات يوم الصفر الرئيسية، شمل دورة Patch Tuesday لشهر مارس 46 ثغرة تصعيد امتيازات، و18 ثغرة تنفيذ تعليمات عن بُعد، و10 مشاكل كشف معلومات، و4 ثغرات انتحال، و4 ثغرات حرمان من الخدمة، وثغرتي تجاوز ميزات أمنية.
تم تصنيف ست ثغرات في دورة مارس الكاملة على أنها “أكثر احتمالًا للاستغلال”، مما يعني أنه يجب على المدافعين التعامل معها بإلحاح حتى في غياب استغلال مؤكد.
أولويات التصحيح لفرق الأمن
حصاد ثغرات يوم الصفر لمارس 2026 يتطلب استجابة متعددة الطبقات:
- Chrome: تحققوا من التحديثات التلقائية الآن. تأكدوا من أن جميع المتصفحات المُدارة تعمل بالإصدار 146.0.7680.80 أو أحدث. لا تنتظروا دورة التصحيح المُجدولة التالية.
- Android: افرضوا مستويات تصحيح دنيا. حددوا 2026-03-05 كمستوى تصحيح أمان Android الأدنى المقبول للأجهزة التي تصل إلى موارد المؤسسة. اعزلوا الأجهزة غير المتوافقة.
- SQL Server: صححوا ودققوا. طبقوا تحديث KB المناسب، ثم دققوا تسجيلات دخول SQL Server بحثًا عن حسابات امتيازات منخفضة غير ضرورية يمكن أن تخدم كنقاط دخول للتصعيد.
- راقبوا إضافات كتالوج KEV لـ CISA. جميع المنصات الثلاث لها إدخالات أُضيفت إلى كتالوج KEV في مارس. المؤسسات الخاضعة لـ BOD 22-01 لها مواعيد معالجة إلزامية.
- راجعوا التعرض لسلاسل الاستغلال. CVE-2026-21385 أخطر كجزء من سلسلة. إذا كانت مؤسستكم تستخدم أجهزة Android وتملك سطح هجوم قائم على المتصفح، فالجمع يخلق خطرًا مركبًا لا يزيله أي تصحيح بمفرده.
الأسئلة الشائعة
ما هي ثغرة يوم الصفر الأكثر خطورة في مارس 2026 على المؤسسات؟
CVE-2026-21262 (تصعيد امتيازات SQL Server، CVSS 8.8) تشكل أعلى خطر مؤسسي لأنها تسمح لأي مستخدم مصادق بامتيازات منخفضة بالحصول على وصول sysadmin إلى مثيل قاعدة البيانات بأكمله. بما أن تفاصيل الاستغلال مكشوفة علنيًا، فالتسليح مرجح حتى بدون تأكيد الاستغلال النشط عند الإصدار. يجب على المؤسسات التي تستخدم أي إصدار من SQL Server من 2016 إلى 2025 التصحيح فورًا.
هل أجهزة Qualcomm Android في الجزائر متأثرة بـ CVE-2026-21385؟
نعم. تؤثر الثغرة على أكثر من 230 طراز شريحة Qualcomm، مغطية الغالبية العظمى من أجهزة Android المباعة في الجزائر. تشير نشرة Google إلى “استغلال محدود ومُستهدف” — عادة ضد أهداف عالية القيمة كالصحفيين أو المسؤولين — لكن التعرض الواسع للشرائح يعني أن أي جهاز غير مُصحح معرض تقنيًا. يجب تحديث الأجهزة إلى مستوى تصحيح أمان 2026-03-05 أو تقييدها من الوصول إلى الموارد المؤسسية.
كيف ينبغي للمؤسسات تحديد الأولويات عندما تسقط خمس ثغرات يوم صفر في شهر واحد؟
ابدأوا بالمنصات التي لها استغلال نشط مؤكد: Chrome (CVE-2026-3909، CVE-2026-3910) وAndroid (CVE-2026-21385). هذه تتطلب تصحيحًا فوريًا. ثم عالجوا SQL Server (CVE-2026-21262) بناءً على تعرضكم — إذا كانت مثيلات SQL Server متاحة عبر الشبكة مع حسابات امتيازات منخفضة، أعطوا الأولوية لهذا التالي. استخدموا مواعيد KEV لـ CISA كمعيار أدنى ونسقوا بين فرق المتصفح والهاتف وقواعد البيانات في آن واحد.
المصادر والقراءات الإضافية
- Google Fixes Two Chrome Zero-Days Exploited in the Wild — The Hacker News
- CVE-2026-3910: Chrome V8 Zero-Day Used for In-the-Wild Attacks — SOC Prime
- Google Confirms CVE-2026-21385 in Qualcomm Android Component Exploited — The Hacker News
- High-Severity Qualcomm Bug Hits Android Devices in Targeted Attacks — Malwarebytes
- CVE-2026-21262: SQL Server Zero-Day Fixed in March Patch Tuesday — SOC Prime
- Microsoft March 2026 Patch Tuesday Fixes 2 Zero-Days, 79 Flaws — Bleeping Computer
- Microsoft Patches 84 Flaws Including Two Public Zero-Days — The Hacker News
