ثغرة Chrome Zero-Day الرابعة في 2026: CVE-2026-5281 تُستغل لاختراق المتصفحات عبر WebGPU

أصدرت Google تحديثاً أمنياً طارئاً لمتصفح Chrome يعالج 21 ثغرة أمنية، أبرزها CVE-2026-5281 — ثغرة use-after-free في مكوّن Dawn المسؤول عن تنفيذ معيار WebGPU. الثغرة مُستغلة فعلياً في هجمات حقيقية، ما دفع وكالة CISA الأمريكية لإضافتها فوراً إلى قائمة الثغرات المُستغلة المعروفة (KEV) مع إلزام الجهات الفيدرالية بتطبيق التحديث قبل 15 أبريل 2026.

ما هي ثغرة CVE-2026-5281 وكيف تعمل؟

تكمن الثغرة في مكتبة Dawn، وهي التنفيذ مفتوح المصدر لمعيار WebGPU الذي يتيح للمتصفحات الوصول المباشر لوحدة معالجة الرسوميات (GPU). عند زيارة صفحة ويب مُعدّة بشكل خبيث، يستطيع المهاجم التلاعب بإدارة الذاكرة داخل أنبوب معالجة GPU، مما يُحدث حالة use-after-free تؤدي إلى فساد الذاكرة. النتيجة: تنفيذ شيفرة عشوائية داخل سياق المتصفح، وإذا كان المهاجم قد اخترق عملية العرض (renderer process) مسبقاً، فإنه يحصل على قدرة تنفيذ أوامر كاملة على جهاز الضحية.

الخطورة الإضافية تكمن في أن Dawn مكوّن أساسي في مشروع Chromium المفتوح المصدر، ما يعني أن جميع المتصفحات المبنية على Chromium متأثرة — بما فيها Microsoft Edge وBrave وOpera وVivaldi — وليس Chrome فقط.

لماذا تُعد هذه الثغرة خطيرة بشكل استثنائي؟

ثلاثة عوامل تجعل CVE-2026-5281 تستحق اهتماماً فورياً من فرق الأمن السيبراني. أولاً، الاستغلال الفعلي (in-the-wild exploitation): أكدت Google وجود استغلال نشط قبل إصدار التحديث، مما يعني أن مهاجمين يستخدمونها فعلاً لاختراق أهداف حقيقية. ثانياً، سطح الهجوم الضخم: Chrome يستحوذ على أكثر من 65% من سوق المتصفحات عالمياً، وأي موظف في مؤسسة مالية يتصفح الإنترنت هو هدف محتمل. ثالثاً، النمط المتصاعد: هذه هي ثغرة Zero-Day الرابعة المُستغلة في Chrome خلال 2026 فقط، ما يشير إلى تركيز منظّم من مجموعات التهديد المتقدمة على استهداف المتصفحات كنقطة دخول أولية.

التأثير المباشر على المؤسسات المالية السعودية

في بيئة القطاع المالي السعودي الخاضع لرقابة البنك المركزي (SAMA)، تحمل هذه الثغرة أبعاداً تنظيمية واضحة. إطار SAMA للأمن السيبراني (CSCC) في نطاق إدارة الثغرات (Vulnerability Management) يُلزم المؤسسات المالية بتطبيق التحديثات الأمنية الحرجة خلال إطار زمني محدد، ويتطلب وجود آلية مراقبة مستمرة لمصادر الإنذارات الأمنية مثل CISA KEV وNCA alerts. كذلك يتطلب إطار NCA ECC في ضابط إدارة التحديثات الأمنية وجود عملية مُوثّقة لتقييم وتطبيق التحديثات بحسب مستوى الخطورة.

المؤسسات التي تعتمد على تطبيقات ويب داخلية تعمل عبر Chrome — وهي الأغلبية — تواجه خطراً مضاعفاً: اختراق المتصفح قد يمنح المهاجم وصولاً مباشراً إلى أنظمة الخدمات المصرفية الإلكترونية وبوابات الدفع ولوحات إدارة البيانات الحساسة.

الإصدارات المتأثرة والتحديث المطلوب

جميع إصدارات Chrome السابقة للإصدار 146.0.7680.177 متأثرة. أصدرت Google التحديثات التالية:

• Windows وmacOS: الإصدار 146.0.7680.177 أو 146.0.7680.178
• Linux: الإصدار 146.0.7680.177

يجب أيضاً مراقبة تحديثات المتصفحات الأخرى المبنية على Chromium — خاصة Microsoft Edge الذي تستخدمه مؤسسات كثيرة في بيئات Active Directory.

التوصيات والإجراءات العملية

1. تحديث فوري وشامل: نشر تحديث Chrome 146.0.7680.177+ على جميع الأجهزة المُدارة خلال 48 ساعة باستخدام أدوات الإدارة المركزية مثل SCCM أو Intune أو Google Admin Console.
2. جرد المتصفحات: حصر جميع المتصفحات المبنية على Chromium في بيئتكم (Edge, Brave, Opera) والتأكد من تحديثها أيضاً.
3. تفعيل سياسات التحديث التلقائي: ضبط Group Policy لفرض التحديث التلقائي لـ Chrome على مستوى المؤسسة ومنع المستخدمين من تأجيله.
4. مراجعة سجلات الوصول: فحص سجلات proxy وWeb Gateway بحثاً عن أنماط وصول مشبوهة إلى نطاقات غير معروفة خلال الأسبوع الماضي، خاصة الصفحات التي تستدعي WebGPU APIs.
5. تعزيز عزل المتصفح: تفعيل خاصية Site Isolation في Chrome وتقييد صلاحيات الإضافات (extensions) غير المعتمدة من فريق تقنية المعلومات.
6. تحديث قواعد EDR: التأكد من أن حلول Endpoint Detection and Response محدّثة بمؤشرات الاختراق (IOCs) المرتبطة بهذا الاستغلال.
7. توعية الموظفين: إرسال تنبيه داخلي للموظفين بعدم فتح روابط مشبوهة والتأكد من تحديث متصفحاتهم، مع التركيز على فرق الخزينة والتداول التي تتعامل مع منصات مالية حساسة.

الخلاصة

ثغرة CVE-2026-5281 تذكير قاسٍ بأن المتصفح — وهو التطبيق الأكثر استخداماً في أي مؤسسة — يبقى أحد أخطر نقاط الدخول للمهاجمين. أربع ثغرات Zero-Day مُستغلة في Chrome خلال أربعة أشهر فقط تعني أن إدارة ثغرات المتصفحات يجب أن تكون على رأس أولويات فرق الأمن السيبراني في القطاع المالي السعودي، وليس مجرد مهمة روتينية لفريق الدعم الفني.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك لتقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC — بما في ذلك مراجعة شاملة لعمليات إدارة الثغرات وسياسات تحديث المتصفحات في مؤسستك.