CVE-2026-5281: ثغرة Chrome الرابعة في 2026 تستغل WebGPU لتنفيذ كود خبيث — البنوك السعودية أمام مهلة 15 أبريل

في أقل من أربعة أشهر، رصدت Google رابع ثغرة أمنية يُستغل فعلياً في متصفح Chrome خلال عام 2026 — وهذه المرة الهدف هو طبقة WebGPU، البنية التحتية الحديثة التي تعتمدها تطبيقات الويب المالية لتسريع المعالجة البصرية. الثغرة CVE-2026-5281 تتيح لمهاجم تنفيذ كود عشوائي على الجهاز المستهدف، وCISA أعطت المؤسسات الأمريكية حتى 15 أبريل 2026 لتصحيحها — وهو تحذير يجب أن يُسمع جيداً في كل غرفة CISO بالمؤسسات المالية السعودية.

ما هي CVE-2026-5281 وكيف تعمل؟

الثغرة عبارة عن خلل من نوع Use-After-Free في مكتبة Dawn، وهي التطبيق مفتوح المصدر لمعيار WebGPU الذي يستخدمه Chrome للتعامل مع عمليات GPU عبر الويب. عندما يحرر الكود الذاكرة المرتبطة بكائن ما ثم يستمر في استخدامها لاحقاً، يصبح بالإمكان كتابة بيانات تحكّمية في تلك الذاكرة المُعاد تخصيصها. الثمرة النهائية: تنفيذ كود عشوائي خارج صندوق الحماية في حال كان المهاجم قد اخترق بالفعل عملية الـ Renderer — أي أن هذه الثغرة تُستخدم عادةً كالحلقة الثانية في سلسلة استغلال متكاملة (Exploit Chain).

Google أصدرت تحديث Chrome 146.0.7680.177/178 لأنظمة Windows وmacOS، و146.0.7680.177 لنظام Linux، وأكدت رسمياً: "نحن على علم بوجود استغلال فعلي لـ CVE-2026-5281 في البرية". CISA أضافت الثغرة فوراً إلى قائمة الثغرات المستغلة المعروفة (KEV) مع مهلة إلزامية للجهات الحكومية الأمريكية حتى 15 أبريل 2026.

السياق التشغيلي: لماذا هذه الثغرة خطيرة بشكل خاص؟

كون الثغرة تقع في طبقة WebGPU يجعل نطاق الهجوم أوسع مما يبدو. WebGPU بات معتمداً في تطبيقات الويب المصرفية والمالية لتسريع عمليات رسم الواجهات، ولوحات تحليل البيانات، وحتى بعض أدوات التحقق البصري. أي موظف يفتح رابطاً خبيثاً عبر متصفح Chrome غير مُحدَّث — سواء في بوابة الإنترنت المصرفي أو لوحة تحكم المخاطر — يُمكن أن يُصبح نقطة دخول لهجوم متعدد المراحل.

ما يُقلق أكثر هو توقيت الاكتشاف: أربع ثغرات Zero-Day مستغلة في Chrome منذ يناير 2026 يعني أن الجماعات المتقدمة (APTs) تُركّز جهودها بشكل متصاعد على اختراق متصفحات الشركات، خاصة مع انتشار نماذج العمل الهجين في القطاع المالي السعودي.

التأثير على المؤسسات المالية الخاضعة لرقابة SAMA

إطار SAMA CSCC يُلزم المؤسسات المالية المرخصة بتطبيق إدارة صارمة لتحديثات الأمن (Patch Management) ضمن متطلبات المجال الثالث — إدارة الثغرات الأمنية. الإخفاق في تحديث المتصفحات في بيئات العمل خلال الإطار الزمني المعقول يُشكّل انتهاكاً مباشراً لهذا المتطلب. كذلك، تشترط NCA ECC ضمن المتطلب 3-3 توثيق وإغلاق الثغرات الحرجة خلال 48 ساعة من الإفصاح الرسمي.

من جهة أخرى، إذا أُستخدمت هذه الثغرة كحلقة ضمن هجوم يتسبب في اختراق بيانات عملاء، فإن نظام PDPL يُوجب الإخطار الفوري لـ SDAIA خلال 72 ساعة من اكتشاف الاختراق، مع احتمالية فرض غرامات تصل إلى 5 ملايين ريال في حالات الإهمال المُثبت.

خطوات الاستجابة الفورية

1. التحديث الفوري لـ Chrome: تأكد من وصول الإصدار 146.0.7680.177 أو أحدث إلى جميع أجهزة العمل — استخدم أدوات إدارة الأجهزة (MDM/GPO) لفرض التحديث مركزياً دون الاعتماد على المستخدم.
2. مراجعة سجلات الـ Proxy والـ EDR: ابحث عن أنماط وصول غير معتادة للصفحات ذات المحتوى الثقيل على GPU خلال الأسبوعين الماضيين — قد تكون علامة على استطلاع مسبق.
3. تفعيل عزل المتصفح (Browser Isolation): إذا لم يكن مُفعلاً، ابدأ بجلسات المتصفح ذات الصلاحيات العالية — كوصول موظفي الخزينة والمخاطر — من خلال حل عزل متصفح (RBI) بدلاً من التصفح المباشر.
4. تقييم النضج في إدارة الثغرات: قيّم ما إذا كانت دورة Patch Management الحالية تُفعّل تحديثات الطارئ (Out-of-Band) في ظرف 24-48 ساعة، وليس فقط ضمن الدورة الشهرية المعتادة.
5. تحديث قائمة Asset المُعرَّضة للخطر: وثّق جميع أجهزة الموظفين التي تصل إلى تطبيقات ويب مالية عبر Chrome، وتأكد من امتثالها لمتطلبات SAMA CSCC المجال الثالث.

الخلاصة

CVE-2026-5281 ليست مجرد ثغرة في متصفح — هي تذكير بأن سطح الهجوم في المؤسسات المالية السعودية يمتد من خوادم البنية التحتية حتى كل تبويب مفتوح على شاشة موظف. أربع ثغرات Zero-Day مستغلة في Chrome خلال أقل من أربعة أشهر تُشير إلى تحول في استراتيجية المهاجمين نحو استهداف نقاط نهاية المستخدم كمدخل أولي. المهلة حتى 15 أبريل ليست رفاهية — هي نافذة إجراء.

هل مؤسستك مستعدة؟ تواصل مع فريق فنترالينك للحصول على تقييم مجاني لمدى النضج السيبراني وفق SAMA CSCC، وتحديد الثغرات الحرجة في بيئتك قبل أن يفعل المهاجمون.