Lỗ hổng Chrome giúp kẻ tấn công truy cập tệp cục bộ trên hệ thống!

[Nguyễn Tiến Đạt]

Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một lỗ hổng bảo mật trong Google Chrome, cho phép kẻ tấn công leo thang đặc quyền và truy cập tệp cục bộ trên hệ thống.

Lỗ hổng được định danh CVE-2026-0628, có điểm CVSS 8.8, liên quan đến việc thực thi chính sách không đầy đủ trong thẻ WebView. Google đã vá lỗi vào đầu tháng 1/2026 trong các phiên bản:

• 143.0.7499.192/.193 (Windows, macOS)
• 143.0.7499.192 (Linux)

Theo mô tả từ Cơ sở dữ liệu lỗ hổng quốc gia NIST, vấn đề này cho phép kẻ tấn công – sau khi thuyết phục người dùng cài đặt tiện ích mở rộng độc hại – chèn script hoặc HTML vào trang có quyền quản trị thông qua một extension được chuẩn bị sẵn.

Nhà nghiên cứu Gal Weizman thuộc Unit 42 của Palo Alto Networks, người báo cáo lỗ hổng ngày 23/11/2025, cho biết lỗi có thể giúp tiện ích độc hại với quyền cơ bản chiếm quyền điều khiển bảng điều khiển Gemini Live trong Chrome. Tính năng Gemini đã được tích hợp vào Chrome từ tháng 9/2025 và có thể mở qua biểu tượng Gemini trên thanh trình duyệt.

Khi bị khai thác, lỗ hổng có thể cho phép:

• Truy cập camera và micro mà không cần sự cho phép
• Chụp ảnh màn hình mọi trang web
• Truy cập tệp cục bộ
• Thực thi mã tùy ý

Tích hợp AI vào trình duyệt: Bề mặt tấn công mới​

Vấn đề cốt lõi nằm ở cách các tác nhân AI được cấp quyền đặc biệt trong môi trường trình duyệt để thực hiện các thao tác nhiều bước như tóm tắt, dịch thuật hay tự động hóa tác vụ. Chính các quyền này lại trở thành “con dao hai lưỡi”.

Kẻ tấn công có thể:

• Nhúng lời nhắc ẩn vào trang web độc hại
• Dụ nạn nhân truy cập thông qua kỹ thuật xã hội
• Điều khiển trợ lý AI thực hiện hành động vốn bị chặn
• Lưu trữ hướng dẫn trong bộ nhớ để tồn tại qua nhiều phiên

Unit 42 cảnh báo rằng việc đặt bảng điều khiển AI vào ngữ cảnh đặc quyền cao của trình duyệt có thể tạo ra lỗi logic và điểm yếu triển khai, bao gồm:

• Tấn công XSS
• Leo thang đặc quyền
• Tấn công kênh phụ

Dù tiện ích mở rộng hoạt động theo mô hình phân quyền rõ ràng, việc khai thác CVE-2026-0628 đã làm suy yếu mô hình bảo mật đó. Cụ thể, extension có quyền cơ bản thông qua API declarativeNetRequest có thể chèn JavaScript vào bảng Gemini, từ đó tương tác với hệ thống tập tin, camera, micro và các khả năng mạnh mẽ khác khi ứng dụng Gemini được tải trong thành phần đặc quyền này.

API declarativeNetRequest vốn cho phép tiện ích chặn và thay đổi thuộc tính của yêu cầu và phản hồi HTTPS – thường được dùng bởi các extension chặn quảng cáo. Tuy nhiên, trong trường hợp này, nó trở thành công cụ để chèn mã vào bảng điều khiển Gemini.

Theo Unit 42, ranh giới giữa hành vi được thiết kế sẵn và lỗ hổng bảo mật nằm ở loại thành phần tải ứng dụng Gemini. Một tiện ích tác động lên trang web là điều dự kiến. Nhưng khi nó ảnh hưởng đến thành phần tích hợp sẵn của trình duyệt, rủi ro bảo mật trở nên nghiêm trọng.(thehackernews)

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview