概要

Cybersecurity researchersは、Google Chromeで発見された重大なセキュリティ脆弱性について詳細を公開しました。この脆弱性により、攻撃者は悪意のある拡張機能を通じて特権昇格を行い、システム上のローカルファイルにアクセスできる可能性がありました。

脆弱性の詳細

この脆弱性はCVE-2026-0628として追跡されており、CVSSスコアは8.8とされています。Googleは2026年1月にバージョン143.0.7499.192/.193でこの脆弱性を修正しました。

影響範囲

Palo Alto Networks Unit 42の研究者Gal Weizman氏が発見し、報告したこの脆弱性は、悪意のある拡張機能が基本的な権限を持つ場合でも、新しいGemini Liveパネルを制御する可能性がありました。

攻撃手法

• 特権昇格: 攻撃者はこの脆弱性を利用して、カメラやマイクへのアクセスを勝手に得たり、スクリーンショットを撮影したり、ローカルファイルにアクセスすることができました。

背景と影響

Googleは2025年9月にChromeにGemini統合機能を追加しました。この脆弱性の発見により、AIや代理的機能が直接ウェブブラウザに組み込まれることで生じる新たな攻撃ベクトルについての懸念が高まっています。

対策と今後の課題

この脆弱性は、AIアシスタントが通常行うような操作を実行するためには、ブラウザ環境にprivilegedなアクセスが必要であるという点で二面性があります。しかし、攻撃者が悪意のあるウェブページに隠しプロンプトを埋め込むことで、これらの機能が悪用される可能性があります。

まとめ

この脆弱性の発見は、AIや代理的機能が直接ウェブブラウザに組み込まれることで生じる新たなセキュリティリスクについて再考する機会を提供しています。開発者は、これらの新しいコンポーネントが高特権環境内に配置されることによって、意図せず新たな論理的脆弱性や実装の弱点を作り出す可能性があることに注意が必要です。

---

元記事: https://thehackernews.com/2026/03/new-chrome-vulnerability-let-malicious.html