Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một lỗ hổng bảo mật trong Google Chrome hiện đã được vá, có thể cho phép kẻ tấn công leo thang đặc quyền và truy cập các tệp cục bộ trên hệ thống.
Lỗ hổng, được theo dõi là CVE-2026-0628 (điểm CVSS: 8.8), được mô tả là một trường hợp thực thi chính sách không đầy đủ trong thẻ WebView. Google đã vá lỗ hổng này vào đầu tháng 1 năm 2026 trong phiên bản 143.0.7499.192/.193 cho Windows/Mac và 143.0.7499.192 cho Linux.
"Thực thi chính sách không đầy đủ trong thẻ WebView của Google Chrome trước phiên bản 143.0.7499.192 đã cho phép kẻ tấn công, bằng cách thuyết phục người dùng cài đặt một tiện ích mở rộng độc hại, chèn tập lệnh hoặc HTML vào một trang đặc quyền thông qua một tiện ích mở rộng Chrome được tạo thủ công," theo mô tả trên NIST National Vulnerability Database (NVD).
Nhà nghiên cứu Gal Weizman của Palo Alto Networks Unit 42, người đã phát hiện và báo cáo lỗ hổng vào ngày 23 tháng 11 năm 2025, cho biết vấn đề này có thể đã cho phép các tiện ích mở rộng độc hại với quyền cơ bản chiếm quyền kiểm soát bảng điều khiển Gemini Live mới trong Chrome. Bảng điều khiển này có thể được khởi chạy bằng cách nhấp vào biểu tượng Gemini nằm ở phía trên cùng của cửa sổ trình duyệt. Google đã thêm tích hợp Gemini vào Chrome vào tháng 9 năm 2025.
Cuộc tấn công này có thể bị kẻ tấn công lợi dụng để đạt được privilege escalation, cho phép chúng truy cập camera và microphone của nạn nhân mà không cần sự cho phép của họ, chụp ảnh màn hình của bất kỳ trang web nào và truy cập các tệp cục bộ.
Những phát hiện này làm nổi bật một vector tấn công mới nổi phát sinh từ việc tích hợp trí tuệ nhân tạo (AI) và các khả năng tác nhân (agentic capabilities) trực tiếp vào trình duyệt web để tạo điều kiện tóm tắt nội dung, dịch thuật và thực thi tác vụ tự động theo thời gian thực, vì những khả năng tương tự có thể bị lạm dụng để thực hiện các hành động đặc quyền.
Vấn đề cốt lõi là nhu cầu cấp cho các tác nhân AI này quyền truy cập đặc quyền vào môi trường duyệt web để thực hiện các hoạt động đa bước, do đó trở thành một con dao hai lưỡi khi kẻ tấn công nhúng các prompt ẩn vào một trang web độc hại và người dùng nạn nhân bị lừa truy cập nó thông qua social engineering hoặc một số phương tiện khác.
Prompt có thể hướng dẫn trợ lý AI thực hiện các hành động mà trình duyệt lẽ ra sẽ chặn, dẫn đến rò rỉ dữ liệu hoặc thực thi mã. Tệ hơn nữa, trang web có thể thao túng tác nhân để lưu trữ các hướng dẫn trong bộ nhớ, khiến chúng tồn tại qua nhiều phiên.
Bên cạnh bề mặt tấn công mở rộng, Unit 42 cho biết việc tích hợp bảng điều khiển AI trong các trình duyệt tác nhân (agentic browsers) mang lại các rủi ro bảo mật trình duyệt cổ điển.
"Bằng cách đặt thành phần mới này vào ngữ cảnh đặc quyền cao của trình duyệt, các nhà phát triển có thể vô tình tạo ra các lỗi logic mới và điểm yếu triển khai," Weizman nói. "Điều này có thể bao gồm các lỗ hổng liên quan đến cross-site scripting (XSS), privilege escalation và side-channel attacks có thể bị khai thác bởi các trang web hoặc tiện ích mở rộng trình duyệt có ít đặc quyền hơn."
Trong khi các tiện ích mở rộng trình duyệt hoạt động dựa trên một tập hợp quyền đã xác định, việc khai thác thành công CVE-2026-0628 làm suy yếu mô hình bảo mật của trình duyệt và cho phép kẻ tấn công chạy mã tùy ý tại "gemini.google[.]com/app" thông qua bảng điều khiển trình duyệt và truy cập dữ liệu nhạy cảm.
"Một tiện ích mở rộng có quyền truy cập vào một bộ quyền cơ bản thông qua declarativeNetRequest API đã cho phép các quyền có thể giúp kẻ tấn công chèn mã JavaScript vào bảng điều khiển Gemini mới," Weizman nói thêm. "Khi ứng dụng Gemini được tải trong thành phần bảng điều khiển mới này, Chrome sẽ gắn nó với quyền truy cập vào các khả năng mạnh mẽ."
Điều đáng chú ý là declarativeNetRequest API cho phép các tiện ích mở rộng chặn và thay đổi thuộc tính của các yêu cầu và phản hồi web HTTPS. Nó được các tiện ích chặn quảng cáo sử dụng để ngừng gửi yêu cầu tải quảng cáo trên các trang web.
Nói cách khác, tất cả những gì kẻ tấn công cần làm là lừa một người dùng không nghi ngờ cài đặt một tiện ích mở rộng được tạo thủ công đặc biệt, sau đó tiện ích này có thể chèn mã JavaScript tùy ý vào bảng điều khiển bên của Gemini để tương tác với hệ thống tệp, chụp ảnh màn hình, truy cập camera, bật microphone – tất cả các tính năng cần thiết để trợ lý AI thực hiện nhiệm vụ của nó.
"Sự khác biệt trong loại thành phần tải ứng dụng Gemini là ranh giới giữa hành vi theo thiết kế và lỗ hổng bảo mật," Unit 42 cho biết. Một tiện ích mở rộng ảnh hưởng đến một trang web là điều được mong đợi. Tuy nhiên, một tiện ích mở rộng ảnh hưởng đến một thành phần được tích hợp sẵn vào trình duyệt là một rủi ro bảo mật nghiêm trọng."
