جوجل تكشف عن ثغرة أمنية في نظام التشغيل الويندوز 11 .. مايكروسوفت لا ترغب في إصلاحها أو لا تستطيع إصلاحها

كشف فريق الأمن التابع ل Project Zero في جوجل علنًا عن ثغرة أمنية في إصدارات الويندوز 11 التجريبية (Insider) بعد فشل مايكروسوفت في إصلاحها بشكل كامل.

يعمل Project Zero وفق بروتوكول واضح: عند اكتشاف ثغرة أمنية، يتم إبلاغ الشركة المصنعة بها سرًا، والتي تُمنح مهلة 90 يومًا لإصلاحها.

إذا لم تُحل المشكلة خلال هذه المدة، يتم نشر الثغرة للعلن للضغط على الشركة المصنعة ومنح المستخدمين فرصة اتخاذ تدابير أمنية مستقلة.

تتمثل الثغرة الأمنية المكتشفة في الإصدار التجريبي من نظام التشغيل الويندوز 11 في خلل يسمح برفع مستوى الصلاحيات في ميزة حماية المسؤول. هذه الميزة، التي لم تُصدر رسميًا بعد، تتيح منح صلاحيات المسؤول عبر Windows Hello ورمز مميز خاص بالمسؤول، مما يُحسّن أمان الحسابات ذات الصلاحيات العالية.

خلال التحقيق، اكتشف مهندسو جوجل ثغرة أمنية في إحدى ميزات النظام تسمح لعملية ذات صلاحيات محدودة بالسيطرة على عملية الوصول إلى واجهة المستخدم، مما قد يؤدي إلى الحصول على صلاحيات المسؤول.

تم الإبلاغ عن هذه الثغرة إلى مايكروسوفت في 8 أغسطس 2025، وكان الموعد النهائي الأولي لإصدار التحديث هو 6 نوفمبر. بعد طلب تمديد المهلة، أصدرت مايكروسوفت تحديثًا في 12 نوفمبر. ومع ذلك، أعاد Project Zero فتح القضية مؤخرًا، مشيرًا إلى أن التحديث غير مكتمل ولا يعالج الثغرة بشكل كامل. لهذا السبب، تم الكشف عن الثغرة للعامة بعد صمت مايكروسوفت.

على الرغم من أن الثغرة أصبحت معروفة للعامة، إلا أنها لا تشكل خطرًا كبيرًا على المستخدمين. فهي هجوم تصعيد صلاحيات محلي، مما يعني أن المهاجم سيحتاج إلى الوصول المادي إلى جهاز الكمبيوتر لتنفيذ تعليمات برمجية ضارة. علاوة على ذلك، فإن ميزة حماية المسؤول متاحة فقط في إصدارات مختارة من برنامج Insider، ويجب تفعيلها يدويًا.

من المتوقع أن تقوم مايكروسوفت بالتحقيق بدقة في ملاحظات Project Zero وإصدار تصحيح نهائي يعمل على إصلاح هذا الخلل الأمني ​​بشكل كامل قبل إتاحة الميزة بشكل عام.