Noua vulnerabilitate Chrome permite extinderea privilegiilor prin modulul Gemini

Specialiștii în domeniul securității cibernetice au dezvăluit detalii despre o vulnerabilitate de securitate din Google Chrome, care a fost remediată între timp, și care ar fi putut permite atacatorilor să-și extindă privilegiile și să obțină acces la fișierele locale din sistem.

Vulnerabilitatea, identificată ca CVE-2026-0628 (scor CvSS: 8.8/10), a fost descrisă ca o eroare de tip insufficient policy enforcement în WebView. Aceasta a fost remediată de Google la începutul lunii ianuarie 2026 în versiunea 143.0.7499.192/.193 pentru Windows/Mac și 143.0.7499.192 pentru Linux.

Acest atac ar fi putut fi exploatat de o persoană rău pentru a obține privilegii sporite, permițându-i să acceseze camera și microfonul utilizatorului fără permisiunea acesteia, să efectueze capturi de ecran ale oricărui site web și să acceseze fișiere locale.

Concluziile evidențiază un vector de atac emergent care rezultă din integrarea inteligenței artificiale (AI) și a capacităților agentice direct în browserele web pentru a facilita rezumarea conținutului în timp real, traducerea și executarea automată a task-urilor, deoarece aceleași capacități ar putea fi exploatate pentru a efectua acțiuni privilegiate.

Problema fundamentală constă în necesitatea de a acorda acestor agenți AI permisiuni privilegiate în mediul de navigare, pentru a putea executa fluxuri operaționale în mai mulți pași. Acest model de funcționare extinde însă suprafața de atac și introduce un vector de risc suplimentar: un atacator poate injecta prompturi ascunse într-o pagină web compromisă, iar un utilizator poate fi determinat, prin tehnici de inginerie socială sau alte metode de manipulare, să o acceseze, declanșând astfel un posibil scenariu de exploatare.

Mesajul ar putea instrui asistentul AI să efectueze acțiuni care altfel ar fi blocate de browser, ducând la exfiltrarea datelor sau la executarea de cod. Mai rău, pagina web ar putea manipula agentul pentru a stoca instrucțiunile în memorie, determinându-l să persiste între sesiuni.

Este important de menționat că API-ul declarativeNetRequest permite extensiilor să intercepteze și să modifice proprietățile cererilor și răspunsurilor web HTTPS. Este important de menționat că API-ul declarativeNetRequest permite extensiilor să intercepteze și să modifice proprietățile cererilor și răspunsurilor web HTTPS. Acesta este utilizat de extensiile de blocare a reclamelor pentru a opri solicitările de încărcare a reclamelor pe paginile web.

Cu alte cuvinte, tot ce trebuie să facă un atacator este să convingă un utilizator să instaleze o extensie malițioasă, care ar putea apoi să injecteze cod JavaScript arbitrar în panoul Gemini pentru a interacționa cu sistemul de fișiere, a efectua capturi de ecran, a accesa camera, a porni microfonul – toate funcțiile necesare pentru ca asistentul AI să își îndeplinească task-urile.

Sursă: https://thehackernews.com/2026/03/new-chrome-vulnerability-let-malicious.html