惡意Chrome擴充要小心!駭客靠Gemini Live 入侵攝影機與電腦權限
記者鄧天心/綜合報導
Google Chrome被爆出有資安風險,攻擊者可利用該漏洞突破瀏覽器限制,能獲取高階權限,還會直接看到使用者電腦內的檔案。
此漏洞追蹤編號為CVE-2026-0628(CVSS評分8.8),肇因於WebView標籤中的原則執行不足,Google已於2026年1月初釋出修復檔,包含Windows與Mac版本143.0.7499.192/.193,以及Linux版本143.0.7499.192。
根據美國國家標準暨技術研究院(NIST)國家漏洞資料庫(NVD)描述,在修復版本之前的GoogleChrome中,WebView標籤原則執行不足,允許攻擊者透過誘使使用者安裝惡意擴充功能,將指令碼或HTML注入特權網頁。
更多科技工作請上科技專區:https://techplus.1111.com.tw/
劫持Gemini Live 存取受害者機敏資料
PaloAlto Networks旗下Unit 42研究員Gal Weizman於2025年11月23日發現並通報此漏洞,他表示,該問題可能讓具備基本權限的惡意擴充功能,奪取Chrome全新Gemini Live面板控制權,攻擊者可利用此漏洞提升權限,在未經同意下存取受害者攝影機與麥克風、擷取任何網站螢幕截圖,並存取本機檔案。
將AI代理功能內建於瀏覽器雖能促進自動化任務,但也成為雙面刃,當攻擊者在惡意網頁中嵌入隱藏提示,並誘騙受害者存取時,該提示可指示AI助理執行原本會被瀏覽器阻擋的操作,導致資料外洩,網頁甚至可操縱代理將指令儲存於記憶體中,使其跨工作階段持續存在。
Weizman指出,將新元件置於瀏覽器高特權環境中,可能衍生跨網站指令碼(XSS)、權限提升及旁路攻擊等漏洞,儘管瀏覽器擴充功能基於既定權限集運作,但成功利用CVE-2026-0628會破壞安全模型,允許攻擊者在「gemini.google[.]com/app」執行任意程式碼,透過declarativeNetRequestAPI,攻擊者得以將JavaScript程式碼注入Gemini。
延伸閱讀:
資料來源:the hackernews
