Дыра в Chrome позволяла расширениям воровать данные пользователей
В начале января Google экстренно закрыла опасную уязвимость в браузере Chrome, которая фактически ломала модель безопасности расширений. Проблема позволяла вредоносным дополнениям выходить за пределы своей «песочницы» и внедрять код в защищённые страницы браузера, включая внутренние системные интерфейсы.
Что произошло
6 января 2026 года Google выпустила срочное обновление Chrome, устраняющее уязвимость CVE-2026-0628 в компоненте WebView. Эксперты оценили её по шкале CVSS в 8.8 балла из 10, что соответствует высокому уровню опасности.Проблема находилась не в отдельном расширении, а в базовой архитектуре браузера. Это означает, что уязвимость затрагивала сам Chromium и потенциально могла быть использована во всех браузерах на его основе.
Как работает WebView и где произошёл сбой
WebView в Chrome - это изолированная среда, предназначенная для запуска интерфейсов и кода расширений. По задумке разработчиков, этот механизм работает как песочница: расширение может выполнять свои функции, но не имеет доступа к критически важным страницам браузера.К таким защищённым зонам относятся настройки, менеджер паролей, системные API и другие компоненты, напрямую связанные с безопасностью пользователя. Именно этот барьер и оказался нарушен.
В чём заключалась уязвимость
Уязвимость CVE-2026-0628 возникла из-за некорректного применения политик безопасности внутри тега WebView. Проще говоря, браузер в определённых сценариях переставал корректно проверять, откуда именно выполняется код.Если пользователь устанавливал вредоносное расширение, оно могло использовать эту дыру для выхода из изоляции. После этого расширение получало возможность внедрять собственный JavaScript в защищённые страницы Chrome.
Почему это опасно
Подобный доступ открывает широкие возможности для злоумышленников. Речь идёт не только о краже данных, но и о более глубоких атаках на браузер и систему пользователя.Возможные сценарии включают перехват паролей, токенов сессий, данных автозаполнения, а также повышение привилегий и подмену логики работы внутренних механизмов Chrome.
Кто обнаружил проблему
Уязвимость выявил израильский исследователь Гал Вайцман, специалист по безопасности JavaScript в браузерах. Он известен работами в области анализа архитектурных ошибок веб-платформ.О проблеме Google была уведомлена ещё 23 ноября 2025 года. Это дало компании время на разработку патча до публичного раскрытия деталей уязвимости.
Почему Google скрывает детали
После выхода обновления Google намеренно ограничила доступ к техническим подробностям. Такая практика используется для того, чтобы злоумышленники не смогли быстро воспроизвести атаку до того, как большинство пользователей установит патч.Это стандартный подход при закрытии уязвимостей высокого уровня опасности, особенно тех, которые могут быть массово использованы через социальную инженерию и поддельные расширения.
Кто ещё под угрозой
Поскольку проблема находится в кодовой базе Chromium, уязвимость затрагивает не только Google Chrome. Под риск подпадают и другие браузеры на его основе, включая Edge, Brave, Opera и Vivaldi.Google выпустила исправление первой. Остальные разработчики должны внедрить аналогичные патчи в ближайшие дни или недели.
Что это значит для пользователей
Инцидент наглядно показывает, что даже архитектурно продуманные системы безопасности могут давать сбои. Расширения браузера остаются одним из самых опасных векторов атак, так как пользователь сам предоставляет им доступ.Регулярное обновление браузера и осторожность при установке дополнений остаются ключевыми мерами защиты. Даже одно вредоносное расширение способно обойти защиту, если в платформе существует критическая ошибка.
Выводы
Уязвимость CVE-2026-0628 стала напоминанием о том, что браузер давно превратился в сложную операционную среду. Любой сбой в её изоляции автоматически превращается в угрозу для миллионов пользователей.Экстренное обновление Chrome закрыло конкретную дыру, но сама история подчёркивает необходимость осторожного отношения к расширениям и иллюзию полной безопасности современных браузеров.
Редакция PavRC
🔄 Bitcoin Mix — Анонимное смешивание BTC с 2017 года
🌐 Официальный сайт
🧅 TOR-зеркало
✉️ [email protected]
No logs • SegWit/bech32 • Мгновенные переводы • Динамическая комиссия
TOR-доступ рекомендуется для максимальной анонимности
🌐 Официальный сайт
🧅 TOR-зеркало
✉️ [email protected]
No logs • SegWit/bech32 • Мгновенные переводы • Динамическая комиссия
TOR-доступ рекомендуется для максимальной анонимности