Pesquisadores de segurança cibernética revelaram uma vulnerabilidade no Google Chrome que poderia permitir que extensões maliciosas elevassem privilégios e acessassem arquivos locais. Identificada como CVE-2026-0628, essa falha foi corrigida em janeiro de 2026 na versão 143.0.7499.192/.193 para Windows e Mac, e 143.0.7499.192 para Linux.
A falha, com pontuação CVSS de 8.8, estava relacionada à aplicação insuficiente de políticas na tag WebView. Segundo o NIST, isso permitia que um invasor, ao convencer um usuário a instalar uma extensão maliciosa, injetasse scripts ou HTML em uma página privilegiada.
O pesquisador Gal Weizman, da Palo Alto Networks Unit 42, descobriu e relatou a falha em 23 de novembro de 2025. A vulnerabilidade permitia que extensões maliciosas controlassem o painel Gemini Live no Chrome, que utiliza a URL “chrome://glic” para carregar o aplicativo web “gemini.google[.]com”.
Essa vulnerabilidade poderia ser explorada para acessar a câmera e o microfone do usuário sem permissão, capturar telas de sites e acessar arquivos locais. O problema foi apelidado de Glic Jack, uma combinação de Gemini Live in Chrome hijack.
A integração de capacidades de inteligência artificial diretamente nos navegadores, como o painel Gemini, introduz novos vetores de ataque. Isso pode resultar em falhas lógicas e fraquezas de implementação, como ataques de cross-site scripting (XSS) e escalonamento de privilégios.
Weizman destacou que a API declarativeNetRequest, que permite que extensões interceptem e alterem propriedades de requisições HTTPS, foi um ponto crítico. Um invasor poderia usar essa API para injetar código JavaScript no painel Gemini, explorando a falha de segurança.
Fonte:https://thehackernews.com/2026/03/new-chrome-vulnerability-let-malicious.html
