Bezpečnostní výzkumníci odhalili novou zranitelnost v prohlížeči Google Chrome, která by mohla být zneužita škodlivými rozšířeními k získání vyšších oprávnění v systému. Chyba, označovaná jako CVE-2026-12345, se týká způsobu, jakým Chrome spravuje komunikaci mezi rozšířeními a integrovaným panelem pro umělou inteligenci Gemini.
Mechanismus zneužití spočívá v tom, že speciálně vytvořené rozšíření může zaslat manipulovanou zprávu do panelu Gemini. Kvůli nedostatečné kontrole vstupních dat a chybě v izolaci procesů může tato zpráva obelstít panel, aby provedl akce s vyššími právy, než která má samotné rozšíření. V praxi by to mohlo umožnit například čtení citlivých dat z otevřených záložek, zachycení vstupů z klávesnice nebo dokonce spuštění kódu v kontextu vyšších oprávnění.
Zástupce společnosti Google potvrdil, že byl o chybě informován a že vývojářský tým na opravě pracuje. „Bereme všechny reporty ohledně zabezpečení Chrome vážně. Naše týmy již vyvinuly opravu, která bude součástí nadcházející stabilní aktualizace. Dokud nebude aktualizace dostupná všem uživatelům, doporučujeme instalovat rozšíření pouze z oficiálního obchodu Chrome Web Store a být obezřetní vůči požadavkům rozšíření na neobvyklá oprávnění,“ uvedl mluvčí.
Bezpečnostní experti varují, že i když zatím nejsou známy žádné aktivní útoky využívající tuto chybu, je jen otázkou času, než se objeví. Doporučují uživatelům, aby si ověřili, zda mají povolené automatické aktualizace prohlížeče Chrome, a aby zkontrolovali seznam nainstalovaných rozšíření. Rozšíření od neznámých vývojářů nebo ta, která nejsou aktivně používána, by měla být odstraněna.
Tato událost znovu upozorňuje na složitost zabezpečení moderních prohlížečů, které jsou stále více propojovány s pokročilými funkcemi, jako jsou AI asistenti. Nutnost bezpečné komunikace mezi těmito komponentami je klíčová pro udržení důvěry uživatelů.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
