IT之家3月4日消息,Palo Alto Networks旗下Unit 42团队在3月2日发布安全报告,披露了谷歌Chrome浏览器中存在一处高危漏洞,该漏洞位于Gemini功能模块中,官方漏洞编号为CVE-2026-0628。
在运行机制方面,具有基础权限的恶意扩展程序可通过"声明式网络请求API"拦截并修改网络请求,从而向Gemini面板注入JavaScript代码。
IT之家注:该API是Chrome浏览器提供的一种接口,允许扩展程序拦截、阻止或修改网络请求,常用于广告拦截或内容过滤,本案例中被恶意利用来注入代码。
由于Gemini面板本身具备读取本地文件、调用摄像头麦克风及截屏等高级权限,攻击者通过代码注入即可非法获取这些权限。
这意味着恶意扩展可以在无需用户交互的情况下监控用户行为、窃取本地数据,甚至利用受信任的面板界面发起网络钓鱼攻击,隐蔽性极高。

针对该漏洞,研究团队以负责任的态度于2025年10月23日向谷歌报告,谷歌随后重现了问题并在2026年1月初发布了修复补丁。
