Breaking news and updates from the world of technology.
يعد Patch Tuesday يونيو 2026 من Microsoft الاكبر في تاريخ التحديثات الشهرية للشركة: 200 ثغرة مرقعة، 38 حرجة، وست zero-day — ثلاث منها مع كود استغلال متاح للعموم.
تؤكد Google وMandiant أن المجموعة الهاكرية استهدفت أكثر من 100 منظمة — معظمها جامعات أمريكية — عبر ثغرة تنفيذ كود عن بُعد دون مصادقة، ولا يزال أي تصحيح غير متاح حتى الآن.
CVE-2026-35273 ثغرة تنفيذ كود عن بُعد غير مصادق عليه بدرجة CVSS 9.8 تستغلها ShinyHunters بنشاط. أكدت جامعة نوتنغهام الاختراق.
CVE-2026-11645 ثغرة وصول خارج النطاق في محرك V8 تتيح تنفيذ تعليمات برمجية عن بُعد. قم بالتحديث إلى Chrome 149.0.7827.102 الآن.
أصدرت مايكروسوفت أكبر تحديث Patch Tuesday في تاريخها بإصلاح 208 ثغرة أمنية بما فيها ثغرة kernel قابلة للانتشار بتقييم CVSS 9.8، فيما أطلق باحث أمني في اليوم ذاته اكسبلويت جديداً لـ Windows Defender.
أصابت الدودة ذاتية التكاثر "Miasma" في سلسلة التوريد 73 مستودعًا عبر منظمات Microsoft على GitHub في 5 يونيو، باستخدام ملفات تكوين ضارة صُممت لسرقة بيانات اعتماد المطورين عند فتح المستودعات المتأثرة في أدوات البرمجة بالذكاء الاصطناعي، بما في ذلك Claude Code وCursor وGemini CLI. وقد عطل GitHub جميع المستودعات المتأثرة في غضون 105 ثوانٍ من اكتشاف الإيداع الخبيث.
ثغرة حرجة في تجاوز المصادقة في منتجات Remote Access VPN من Check Point يتم استغلالها بنشاط من قبل تابعي مجموعة برامج الفدية Qilin. أضافت CISA الثغرة CVE-2026-50751 إلى كتالوج الثغرات المستغلة المعروفة (KEV) لديها في 8 يونيو، وأمرت الوكالات الفيدرالية الأمريكية بتطبيق التصحيحات العاجلة بحلول 11 يونيو.
دراسة أجرتها شركة بوز آلن هاميلتون على 2800 تجربة لتوليد الأكواد البرمجية وجدت أن ثلاثة من أربعة نماذج صينية للذكاء الاصطناعي أنتجت أكواداً أكثر عرضة للثغرات عندما حددت السياقات أن المستخدم يعمل لصالح الحكومة الأمريكية. نموذج Qwen3-Coder ولّد ثغرات أكثر بنسبة 130%. توصي الشركة بمنع افتراضي للنماذج الصينية للذكاء الاصطناعي للاستخدام الحكومي والبنية التحتية الحيوية.
نفذ مهاجمون مرتبطون بـ Lapsus$ هجوم سلسلة توريد من ثلاث خطوات: أولاً اخترقوا Trivy (ماسح ضوئي للثغرات مفتوح المصدر)، ثم استخرجوا بيانات اعتماد CI/CD من خط أنابيب بناء LiteLLM، ثم نشروا نسختين خبيثتين من LiteLLM 1.82.7 و1.82.8 على PyPI. أي نظام ذكاء اصطناعي يسحب تلك النسخ ينفذ تعليمات برمجية يتحكم بها المهاجم — وكانت Mercor، وهي مقاول تدريب ذكاء اصطناعي بقيمة 10 مليار دولار تخدم OpenAI وAnthropic وMeta وGoogle، واحدة من الضحايا. النتيجة: 939 غيغابايت من الكود المصدري للمنصة، و211 غيغابايت من بيانات المستخدمين، وحوالي 3 تيرابايت من مسح جوازات سفر المقاولين وسجلات أرقام الضمان الاجتماعي ومقابلات الفيديو البيومترية معروضة الآن للمزاد على الويب المظلم.
أضافت CISA الثغرة CVE-2026-28318 إلى كتالوج الثغرات المعروفة والمستغلة: خلل في استهلاك الموارد غير المنضبط في SolarWinds Serv-U يسمح للمهاجمين غير الموثقين بتعطيل الخدمة عبر طلب HTTP POST واحد مصمم. يجب على الوكالات الاتحادية التحديث إلى Serv-U 15.5.4 Hotfix 1 بحلول 19 يونيو 2026. على المؤسسات التجارية والحكومية خارج هذا التفويض الاتحادي التعامل مع هذا بنفس درجة الاستعجال.
ثغرة في نظام High Touch Support من Meta — وهو أداة مدعومة بالذكاء الاصطناعي تهدف إلى مساعدة المستخدمين في استعادة الوصول إلى حساباتهم — مكَّنت المهاجمين من إعادة تعيين كلمات المرور على حسابات لا يملكونها، عبر استغلال الأداة باستخدام Prompt Injection.
نشرت مجموعة الابتزاز سيئة السمعة ShinyHunters كامل الحزمة البالغة 234 جيجابايت المسروقة من شركة إدارة مزايا طب الأسنان DentaQuest بعد أن رفضت الشركة دفع فديتها. تحتوي الملفات المسربة على أسماء وعناوين وهويات حكومية وأرقام Medicaid وتفاصيل التأمين الصحي لنحو 2.6 مليون فرد.