A vulnerabilidade CVE-2026-0628 envolvia aplicação insuficiente de políticas no WebView usado pelo painel Gemini Live e permitia que uma extensão criada para abuso injetasse conteúdo em uma página privilegiada do navegador.
| Componente | Google Chrome, especificamente o WebView usado pelo painel Gemini Live em chrome://glic, que carrega o aplicativo gemini.google[.]com dentro de um contexto privilegiado do navegador. |
| Vetor | Instalação de uma extensão maliciosa do Chrome por engenharia social; a extensão podia usar permissões básicas e a API declarativeNetRequest para interferir no carregamento do painel Gemini. |
| Impacto | Injeção de scripts ou HTML em uma página privilegiada, com possibilidade de acesso a arquivos locais, câmera, microfone e captura de telas de sites abertos, conforme as capacidades expostas ao painel. |
| Prioridade | Atualizar o Chrome para as versões corrigidas e revisar extensões instaladas, permissões concedidas e políticas corporativas de instalação de extensões. |
| Versões | Corrigida no Chrome 143.0.7499.192/.193 para Windows e macOS e 143.0.7499.192 para Linux. |
| Identificador | CVE-2026-0628, com pontuação CVSS 8.8, descrita como aplicação insuficiente de política no WebView. |
O Google Chrome corrigiu a vulnerabilidade CVE-2026-0628, uma falha de aplicação insuficiente de política no WebView que afetava a integração do Gemini Live no navegador. O problema estava ligado ao painel lateral acionado pelo ícone do Gemini na barra superior do Chrome. Esse painel usa a URL interna chrome://glic e incorpora o aplicativo gemini.google[.]com por meio de um componente WebView. A diferença técnica relevante é que esse conteúdo não era carregado como uma página comum da web, mas como parte de uma funcionalidade integrada ao navegador, com acesso a capacidades mais sensíveis necessárias para a operação do assistente.
A falha permitia que uma extensão maliciosa, mesmo com um conjunto básico de permissões, influenciasse o conteúdo carregado no painel Gemini e injetasse JavaScript ou HTML em uma página privilegiada. O abuso dependia de convencer o usuário a instalar uma extensão criada para esse fim. Uma vez instalada, a extensão podia explorar a forma como regras de declarativeNetRequest eram aplicadas ao WebView, interferindo no carregamento do aplicativo do Gemini dentro do painel. O resultado era uma quebra do modelo esperado de isolamento entre extensões, páginas da web e componentes internos do navegador.
O impacto técnico confirmado é grave porque o painel Gemini, por desenho funcional, precisa interagir com recursos do ambiente de navegação. Quando uma extensão consegue injetar código nesse contexto, a fronteira entre uma extensão de baixa confiança e uma superfície privilegiada do navegador fica enfraquecida. No cenário descrito, a exploração poderia permitir acesso a arquivos locais, acionamento de câmera e microfone sem a permissão esperada, captura de telas de qualquer site aberto e interação com dados sensíveis disponíveis ao painel. A correção foi disponibilizada no início de janeiro de 2026 nas versões 143.0.7499.192/.193 para Windows e macOS e 143.0.7499.192 para Linux.
A cadeia de exploração começa fora do navegador, com a etapa de convencimento do usuário para instalar uma extensão maliciosa. O material analisado não descreve exploração remota sem interação nem comprometimento automático do Chrome; a pré-condição central é a presença da extensão especialmente criada. O ponto técnico explorado envolve a API declarativeNetRequest, usada legitimamente por extensões para interceptar e modificar propriedades de requisições e respostas HTTPS, como ocorre em bloqueadores de anúncios. No caso vulnerável, regras dessa API podiam atingir o carregamento do aplicativo Gemini no WebView, embora esse componente estivesse ligado a uma área privilegiada do navegador.
A falha foi caracterizada como uma ausência de rejeição adequada dos componentes WebView durante a avaliação de aplicação das regras de declarativeNetRequest. Em páginas comuns, uma extensão interferir em tráfego ou conteúdo dentro dos limites das permissões concedidas é parte do modelo de extensibilidade do Chrome. O problema aparece quando a mesma influência alcança uma superfície incorporada ao navegador, como o painel chrome://glic. Nesse ponto, a extensão deixa de manipular apenas uma página web comum e passa a afetar um componente que possui ligações com recursos poderosos expostos ao assistente.
A injeção de JavaScript ou HTML no aplicativo do Gemini dentro do painel poderia ser usada para assumir a interação com recursos que o Chrome disponibiliza ao assistente. O contexto cita acesso à câmera, ao microfone, a capturas de tela de sites e a arquivos locais como capacidades que poderiam ser alcançadas após a escalada. Esses efeitos não devem ser tratados como consequência genérica de qualquer extensão maliciosa; eles decorrem do encadeamento específico entre permissões de extensão, aplicação inadequada de política no WebView e execução dentro do painel privilegiado do Gemini Live.
A vulnerabilidade também expõe um problema mais amplo na integração de recursos de IA ao navegador. Assistentes incorporados precisam resumir conteúdo, traduzir páginas e executar tarefas em múltiplas etapas, o que exige maior proximidade com o estado de navegação do usuário. Essa proximidade aumenta o risco de falhas lógicas, XSS, escalada de privilégio e canais laterais quando sites, extensões ou instruções manipuladas conseguem influenciar o agente. O contexto menciona ainda o risco conceitual de páginas com instruções ocultas tentarem induzir um assistente a ações indevidas, inclusive persistindo instruções em memória, mas a vulnerabilidade específica aqui analisada é a interferência de uma extensão no painel Gemini por meio do WebView.
A superfície afetada inclui instalações do Chrome anteriores às versões corrigidas que tenham a integração do Gemini Live disponível e que permitam instalação de extensões pelo usuário. O risco aumenta em ambientes nos quais extensões são instaladas fora de um processo rígido de aprovação, especialmente quando usuários podem aceitar permissões sem revisão de segurança. A exploração exige uma extensão construída para manipular o painel, o que desloca a prioridade defensiva para gestão de extensões, atualização do navegador e monitoramento de comportamentos anômalos envolvendo o painel chrome://glic.
Organizações que usam políticas corporativas do Chrome devem considerar o incidente como uma falha no limite entre extensibilidade e componentes de IA integrados ao navegador. O ativo exposto não é apenas a página gemini.google[.]com/app, mas o contexto em que ela é carregada. Como o painel recebe capacidades que uma página comum não deveria controlar, a presença de extensões com permissão para alterar tráfego precisa ser revisada com mais rigor. Extensões aparentemente simples, incluindo aquelas que usam declarativeNetRequest, podem representar risco maior quando uma falha permite que suas regras alcancem superfícies privilegiadas.
O contexto não informa exploração ativa, campanhas específicas, domínios maliciosos, hashes, infraestrutura de comando e controle ou nomes de grupos de ameaça. Também não há indicação de uma lista de versões vulneráveis além da referência a versões anteriores à 143.0.7499.192. Portanto, a avaliação defensiva deve se concentrar no estado de atualização do Chrome, no inventário de extensões e em sinais de abuso local, sem inferir atribuição, malware ou exfiltração confirmada.
- Chrome anterior à versão 143.0.7499.192 em ambientes Windows, macOS ou Linux.
- Usuários com permissão para instalar extensões do Chrome sem aprovação centralizada.
- Extensões que usam
declarativeNetRequestpara modificar requisições ou respostas HTTPS. - Ambientes em que o painel Gemini Live está disponível por meio de
chrome://glic.
A investigação deve começar pelo inventário de versões do Chrome e pela lista de extensões instaladas nos endpoints. Equipes de segurança devem identificar navegadores abaixo da versão corrigida e correlacionar esse dado com extensões instaladas recentemente, especialmente aquelas que solicitam capacidade de modificar tráfego, filtrar conteúdo ou interferir em respostas web. A presença da API declarativeNetRequest no manifesto de uma extensão não é maliciosa por si só, mas se torna um sinal de maior interesse quando combinada com instalação fora do catálogo aprovado, origem desconhecida ou alteração próxima ao período de exposição.
A telemetria de endpoint pode ajudar a observar uso incomum de câmera, microfone, acesso a arquivos locais e captura de tela por processos relacionados ao navegador. Esses sinais precisam ser avaliados com cuidado, porque o próprio painel de IA pode ter usos legítimos. A diferença operacional está na correlação: Chrome desatualizado, extensão recém-instalada, uso de permissões de modificação de tráfego e atividade do painel Gemini em sequência curta formam um conjunto de evidências mais forte do que qualquer evento isolado.
Em ambientes gerenciados, logs de políticas e eventos de navegador devem ser usados para identificar extensões adicionadas manualmente, mudanças em permissões e alterações no conjunto de regras de extensões. A defesa também deve revisar alertas de DLP, EDR e controle de dispositivos ligados a leitura de arquivos locais e uso de periféricos sensíveis. O material analisado não fornece IoCs de rede, portanto a caça deve priorizar comportamento e configuração, não bloqueio de domínios específicos.
- Endpoints com Chrome anterior a 143.0.7499.192 e extensões instaladas fora de lista aprovada.
- Extensões com uso de
declarativeNetRequestcombinadas com permissões de modificação de tráfego. - Atividade incomum do processo do navegador envolvendo câmera, microfone, captura de tela ou leitura de arquivos locais.
- Acesso ao painel
chrome://glicpróximo à instalação ou atualização de uma extensão suspeita. - Mudanças recentes em políticas de extensão, catálogos permitidos ou permissões concedidas pelo usuário.
A primeira medida é garantir que o Chrome esteja nas versões corrigidas: 143.0.7499.192/.193 para Windows e macOS e 143.0.7499.192 para Linux. A correção remove a condição que permitia a aplicação indevida de regras ao WebView do painel Gemini. Em ambientes corporativos, a atualização deve ser validada por inventário central e não apenas por orientação ao usuário, porque a pré-condição de exploração depende de estado local do navegador e de extensões instaladas.
A segunda frente é a gestão de extensões. Equipes devem impor lista de extensões permitidas, bloquear instalação lateral quando aplicável e revisar extensões que alteram requisições ou respostas. Extensões de bloqueio, filtragem ou produtividade podem usar APIs sensíveis legitimamente, mas precisam passar por avaliação de origem, manutenção, permissões e necessidade de negócio. Onde a instalação pelo usuário for permitida, convém reforçar controles que reduzam a chance de engenharia social levar à instalação de uma extensão maliciosa.
Após atualização e revisão de extensões, a resposta deve incluir validação de telemetria recente. Caso uma extensão suspeita tenha sido instalada em navegador vulnerável, a contenção deve incluir remoção da extensão, coleta de eventos do navegador e do endpoint, revisão de acessos a arquivos locais e verificação de uso de câmera, microfone e captura de tela. Se houver indício de acesso indevido a conteúdo sensível, a análise deve seguir o escopo dos dados acessíveis naquele endpoint, sem presumir vazamento amplo quando a evidência disponível não sustenta essa conclusão.
A falha também justifica revisão arquitetural em programas que adotam navegadores com recursos de IA integrados. Componentes de IA com capacidade de agir sobre páginas, arquivos ou periféricos precisam ser tratados como superfícies privilegiadas. Isso exige segmentação clara entre páginas web, extensões, painéis internos e agentes, além de testes para verificar se APIs de extensão conseguem alcançar áreas que deveriam estar fora do seu controle. O caso demonstra que a segurança do navegador não depende apenas de permissões declaradas, mas de como essas permissões são interpretadas quando novos componentes são acoplados ao núcleo da experiência de navegação.
- Atualizar o Chrome para a versão corrigida correspondente ao sistema operacional.
- Inventariar extensões instaladas e remover aquelas sem origem, necessidade ou aprovação claras.
- Aplicar lista de extensões permitidas em ambientes corporativos e restringir instalação pelo usuário.
- Revisar extensões que usam
declarativeNetRequestou modificam tráfego HTTPS. - Correlacionar uso do painel Gemini com eventos de câmera, microfone, captura de tela e leitura de arquivos locais.
- Tratar painéis de IA integrados ao navegador como componentes privilegiados durante modelagem de ameaças e testes de segurança.
0 Comentários