تغيّر مشهد استغلال المتصفحات بشكل جذري في عام 2025. لسنوات، هيمنت أخطاء "الاستخدام بعد التحرر" (UAF) في نموذج كائن المستند (DOM) على السرد لسنوات. ومع ذلك، مع نضوج "جوجل" في ميراكلبتر (آلية حماية المؤشر الخام) والتطبيق الواسع النطاق لـ صندوق رمل V8، تم رفع مستوى الاستغلال الناجح إلى مستوى غير مسبوق.
لقد تكيف المهاجمون - وتحديدًا مجموعات APT المتقدمة وموردي خدمات المراقبة التجارية - مع هذا الوضع. لم تكن عمليات الاستغلال التي حدثت في عام 2025 مجرد حوادث بسيطة؛ بل كانت سلاسل قتل أنيقة متعددة المراحل. لقد جمعوا بين ارتباك نوع V8 لتعريض العارض للخطر، استفاد من الزاوية طبقة الرسومات للحصول على امتياز الوصول إلى وحدة معالجة الرسومات وإساءة استخدامها موجو آي بي سي المنطق للهروب من صندوق الرمل.
تقدم هذه المقالة تحليلًا فنيًا دقيقًا لهذه المتجهات، مع التركيز على CVE-2025-14174 (زاوية), CVE-2025-13223 (V8)، والهروب المنطقي من صندوق الرمل المنطقي CVE-2025-2783مع استكشاف كيف أن الاستغلال الآلي القائم على الذكاء الاصطناعي أصبح الطريقة الوحيدة للكشف عن هذه السلاسل المعقدة قبل أن تصل إلى البرية.
سطح الهجوم الجديد: ANGLE و CVE-2025-14174
ثغرة أمنية: الكتابة خارج الحدود في الواجهة الخلفية المعدنية
المكوّن: ANGLE (محرك طبقة الرسومات الأصلي تقريباً)
التأثير: تنفيذ رمز عملية وحدة معالجة الرسومات
بينما يحتل V8 العناوين الرئيسية، أصبحت حزمة الرسومات هي الجزء السفلي الناعم من أمان المتصفح. CVE-2025-14174التي تم الكشف عنها في ديسمبر 2025، استهدفت طبقة تجريد ANGLE-Chrome التي تترجم مكالمات WebGL/WebGPU إلى واجهات برمجة تطبيقات النظام الأصلية (DirectX وOpenGL وMetal وVulkan).
الآليات التقنية
تكمن الثغرة تحديدًا في ترجمة ANGLE لمكالمات WebGL إلى نظام Apple معدن API. عندما تقوم صفحة ويب ببدء صفحة ويب texImage2D استدعاء ANGLE، يجب أن يحسب ANGLE خطوة الذاكرة والحشو لتعيين النسيج في مساحة ذاكرة وحدة معالجة الرسومات.
في CVE-2025-14174، فإن حساب بكسل العمق بكسل (المستخدم في التركيبات ثلاثية الأبعاد) عانى من تجاوز عدد صحيح عند وجود معلمات محاذاة تعبئة محددة (gl_unpack_alignment_alignment) مع أبعاد النسيج القصوى.
بدائية الاستغلال
- كومة فنغ شوي: يقوم المهاجم برش كومة عمليات وحدة معالجة الرسومات بـ
الذاكرة المشتركة (SharedMemory)كائنات لمحاذاة أجزاء الذاكرة. - الزناد تؤدي مكالمة رسم WebGL محددة إلى تشغيل التجاوز، وكتابة بيانات النسيج التي يتحكم بها المهاجم متجاوزًا حدود المخزن المؤقت المخصص.
- الفساد يقوم الفائض بالكتابة فوق
طاولة vtableمؤشر كائن C ++ C موجود في جزء الكومة المجاور. - التنفيذ: عندما تحاول عملية وحدة معالجة الرسومات إتلاف أو استخدام هذا الكائن، فإنها تستدعي مؤشر دالة يتحكم فيه المهاجم الآن.
ما أهمية ذلك:
تعتبر عملية GPU هدفاً متميزاً. على عكس عملية Renderer المقيدة بشدة، تتفاعل عملية وحدة معالجة الرسومات مباشرةً مع برامج التشغيل على مستوى النواة وأنظمة النوافذ. وغالبًا ما يتجاوز الحصول على RCE هنا عدة طبقات من التخفيف من نظام التشغيل.
الكلاسيكي المتطور: ارتباك نوع V8 (CVE-2025-13223)
ثغرة أمنية: عيب في تحسين JIT
المكوّن: محرك V8 (مروحة توربو)
التأثير: Renderer RCE (داخل V8 Sandbox)
على الرغم من محاولة V8 Sandbox عزل الكومة, ارتباك نوع V8 تظل الطريقة الأساسية للحصول على أساسيات القراءة/الكتابة الأولية. CVE-2025-13223 يسلط الضوء على فشل في خط أنابيب تحسين TurboFan.
فشل CheckMaps CheckMaps
يعمل TurboFan على تحسين JavaScript من خلال وضع افتراضات حول أنواع الكائنات (الخرائط). إذا كان الرمز يصل إلى مصفوفة من الأعداد الصحيحة بشكل متكرر، يقوم TurboFan بتجميع شيفرة الآلة المحسّنة للأعداد الصحيحة. لضمان السلامة، يقوم بإدراج التحقق من الخرائط العُقد.
كان CVE-2025-13223 التخلص من التكرار خطأ. حدد المُحسِّن بشكل غير صحيح أن التحقق من الخرائط كانت العقدة زائدة عن الحاجة وأزالتها، على الرغم من أن التأثير الجانبي في استدعاء الدالة السابقة يمكن أن يغير خريطة الكائن.
الاستغلال المفاهيمي
جافا سكريبت
``دالة ضعيفة_أوبت(arr، مشغّل_obj) { // 1. يرى TurboFan أن arr مصفوفة من الزوجي. دع x = arr[0];
// 2. التأثير الجانبي: تغيّر هذه الدالة "arr" إلى مصفوفة من الكائنات.
// ومع ذلك، أزال TurboFan التحقق من الخريطة بعد هذا الاستدعاء بسبب الخطأ.
المشغّل_obj.toString();
// 3. ارتباك في النوع: يكتب TurboFan قيمة عائمة، لكن الذاكرة الآن هي مؤشرات كائنات.
// نكتب قيمة عوامة متحكم بها (0x4141...) والتي تُفسر كمؤشر.
arr[1] = 1.337e-308;
}`
هزيمة صندوق الحماية V8
في عام 2025، الحصول على addrOf و وهميةObj الأوليات لم تعد كافية بسبب صندوق رمل V8. تعمل آلية الأمان هذه على "تقييد" كومة V8، مما يعني أن المهاجم يمكنه فقط إفساد الذاكرة في الداخل صندوق الرمل. لا يمكنهم الكتابة فوق عناوين الإرجاع على المكدس أو تعديل مخصصات الأقسام خارج القفص.
لاستغلال CVE-2025-13223 كسلاح، استخدمه المهاجمون لإفساد كائن الوسم. من خلال تعديل جدول القفزات الخاص بمثيل WebAssembly (الموجود داخل صندوق الرمل)، يمكنهم إعادة توجيه التنفيذ إلى رمز صدفة عشوائي تم تجميعه عبر JIT، مما يؤدي إلى تنفيذ تعليمات برمجية عشوائية ضمن قيود العارض.
الهروب الأخطاء المنطقية في موجو IPC (CVE-2025-2783)
الثغرة الأمنية: عدم كفاية التحقق من صحة الأذونات
المكوّن: موجو IPC (الاتصال بين العمليات)
التأثير: الهروب من صندوق الحماية (اختراق النظام بالكامل)
مع اختراق العارض، يظل المهاجم محاصرًا في صندوق الرمل. هنا حيث موجو آي بي سي يأتي في. موجو هو نظام IPC عالي الأداء الذي يستخدمه كروم للاتصال بين المُقدِّم غير الموثوق به وعملية المتصفح المميزة.
CVE-2025-2783 لم يكن خطأً في تلف الذاكرة، بل كان خللًا منطقيًا في تنفيذ الوصول إلى نظام الملفات الواجهة.
عيب لغة تعريف الواجهة (IDL)
يُعرّف Chrome واجهات IPC باستخدام موجوم الملفات. كانت الثغرة موجودة في طريقة تهدف إلى منح حق الوصول للقراءة إلى الملفات المؤقتة.
C++
// المنطق الضعيف في عملية المتصفح باطلة OnRequestFileAccess(int32 render_frame_id, String file_path) { // خطأ: تحقق المتصفح مما إذا كان المسار "آمنًا" (على سبيل المثال، لا يوجد .. /) // لكنه لم يتحقق مما إذا كان العارض *يملك *مسار الملف. // يمكن للمهاجم أن يطلب الوصول إلى بيانات الملف الشخصي أو ملفات تعريف الارتباط. GrantAccess (file_path)؛ }.
سلسلة الاستغلال
- مُعيد التسوية: استخدم CVE-2025-13223 لتنفيذ التعليمات البرمجية الأصلية.
- خطاف موجو حدد موقع جداول إرسال موجو في الذاكرة.
- صياغة الرسالة إنشاء رسالة موجو خام تستدعي
الوصول إلى الملف OnRequestFileAccessبمسار يشير إلى بيانات المستخدم الحساسة (على سبيل المثال,بيانات تسجيل الدخولSQLite DB). - استخرج: نظرًا لأن عملية المتصفح تنفذ عملية قراءة الملف بامتيازات عالية، فإنها تُرجع مقبض الملف إلى العارض، متجاوزةً أذونات ملف نظام التشغيل.
يمثل هذا "العصر المنطقي" لاستغلال المتصفح: استخدام ميزات صالحة بطرق غير صالحة لتجاوز الحدود الأمنية.
مستقبل الكشف: التوليف البدائي القائم على الذكاء الاصطناعي
إن تعقيد هذه السلاسل - وتحديدًا القفزة من تلف كومة V8 إلى بدائية مستقرة، ثم إلى إساءة استخدام منطق موجو - يفوق التحليل اليدوي البشري. أدوات التشويش جيدة في العثور على الأعطال، وليس الأخطاء المنطقية.
هذا هو المجال التشغيلي ل Penligent.ai.
توليد الاستغلال الآلي (AEG)
تحوّل Penligent النموذج من "فحص الثغرات الأمنية" إلى "توليد الاستغلال الآلي".
- توليف تخطيط الكومة: بالنسبة للثغرات الأمنية مثل CVE-2025-14174 (ANGLE)، يقوم وكلاء الذكاء الاصطناعي في Penligent بتحليل سلوك مخصص الكومة لتحديد التسلسل الدقيق للتخصيصات (الرش) اللازمة لوضع كائن مستهدف بجوار المخزن المؤقت للتجاوز الزائد تلقائيًا. يحل لغز "كومة الكومة" رياضيًا.
- الاستدلال المنطقي لـ IDL بالنسبة إلى ثغرات موجو (CVE-2025-2783)، يقوم Penligent بتحليل قاعدة بيانات قاعدة رموز كروم بأكملها
موجومالتعريفات. فهو يبني رسمًا بيانيًا تبعيًا لمكالمات IPC ويستخدم التعلم المعزز (RL) لتحديد تسلسل الرسائل الصالحة التي تؤدي إلى تغييرات مميزة في الحالة.
من خلال أتمتة بناء سلسلة القتل الكاملة - من البدائي إلى الهروب - يوفر Penligent الطريقة الوحيدة الموثوقة للتحقق مما إذا كان التصحيح يكسر بالفعل مسار الاستغلال أو مجرد إصلاح الأعراض.
الخاتمة واستراتيجيات التخفيف
يُعلِّمنا مشهد الثغرات في متصفح كروم 2025 أن حقبة "التصلب" ناجحة، لكنها تدفع المهاجمين نحو الأخطاء المنطقية وإساءة استخدام النظام الفرعي.
استراتيجية دفاعية صلبة
- عزل الموقع الصارم: تأكد من
العزل الصارم - الأصل - العزلمُمكَّنًا لمنع تسرّب البيانات عبر المصدر حتى لو كان العارض مخترقًا. - تعطيل WebGL/WebGPU في المناطق الحرجة: بالنسبة للبوابات الداخلية عالية الأمان، استخدم نُهج المؤسسة لتعطيل تسريع الأجهزة، مما يؤدي إلى تحييد سطح هجوم ANGLE (CVE-2025-14174) بشكل فعال.
- مراقبة IPC: يجب أن تبدأ الفرق الدفاعية في مراقبة حركة مرور IPC الداخلية. نادراً ما تنظر أجهزة EDRs في رسائل موجو، ولكن هذا هو بالضبط المكان الذي يحدث فيه الاختراق.
لقد انتقلت المعركة من المكدس والكومة إلى البوابات المنطقية لبنية المتصفح. يجب على مهندسي الأمن تكييف أدواتهم وعقليتهم وفقاً لذلك.
