近日,網(wǎng)絡(luò)安全領(lǐng)域傳來(lái)一則重要消息,Palo Alto Networks(Unit 42)團(tuán)隊(duì)發(fā)布了一份關(guān)于谷歌Chrome瀏覽器高危漏洞的報(bào)告。該漏洞出現(xiàn)在Chrome瀏覽器的Gemini功能中,被追蹤編號(hào)為CVE-2026-0628,這一發(fā)現(xiàn)引起了行業(yè)內(nèi)的廣泛關(guān)注。
從漏洞的運(yùn)行機(jī)制來(lái)看,情況不容樂(lè)觀。擁有基本權(quán)限的惡意擴(kuò)展能夠借助“聲明式網(wǎng)絡(luò)請(qǐng)求API”(declarativeNetRequests API)對(duì)網(wǎng)絡(luò)請(qǐng)求進(jìn)行攔截和修改。這個(gè)API本是Chrome瀏覽器為擴(kuò)展程序提供的一種接口,通常用于廣告攔截或內(nèi)容過(guò)濾等正常用途,然而在此次事件中卻被惡意利用,通過(guò)它向Gemini面板注入Java代碼。
Gemini面板本身具備多種高階能力,例如讀取本地文件、調(diào)用攝像頭和麥克風(fēng)以及進(jìn)行截屏等。攻擊者一旦成功注入代碼,就可以非法獲取這些原本受嚴(yán)格保護(hù)的權(quán)限。這意味著惡意擴(kuò)展無(wú)需用戶進(jìn)行任何交互操作,就能在后臺(tái)悄無(wú)聲息地監(jiān)控用戶的一舉一動(dòng),竊取本地存儲(chǔ)的數(shù)據(jù),甚至還能利用用戶信任的面板界面發(fā)起網(wǎng)絡(luò)釣魚(yú)攻擊,其隱蔽性之高令人擔(dān)憂。
值得慶幸的是,研究團(tuán)隊(duì)秉持著負(fù)責(zé)任的態(tài)度,在2025年10月23日就將該漏洞問(wèn)題報(bào)告給了谷歌。谷歌方面迅速響應(yīng),成功復(fù)現(xiàn)了問(wèn)題,并在2026年1月初發(fā)布了相應(yīng)的修復(fù)補(bǔ)丁,及時(shí)為用戶的網(wǎng)絡(luò)安全提供了一層保障。
