Introduction
Une vulnérabilité de haute gravité a été découverte dans le navigateur Google Chrome, affectant la fonctionnalité Gemini AI. Cette faille de sécurité, référencée sous le nom de CVE-2026-0628, permet à des extensions malveillantes d'injecter des scripts ou du code HTML dans des pages privilégiées via l'API declarativeNetRequests.
Contexte Technique
La vulnérabilité est due à une insuffisance dans la mise en œuvre des politiques de sécurité dans les balises WebView de Google Chrome. Avant la version 143.0.7499.192 du navigateur, une extension malveillante pouvait exploiter cette faille pour injecter du code JavaScript dans le nouveau panneau de navigation Gemini, permettant ainsi à un attaquant d'accéder à des ressources système sensibles, telles que les webcams, les microphones, les fichiers locaux et les répertoires.
Analyse et Implications
Cette vulnérabilité peut être utilisée dans le cadre d'une attaque plus large ciblant les utilisateurs de Google Chrome. Les attaquants peuvent créer des extensions malveillantes qui semblent inoffensives mais qui, une fois installées, peuvent exploiter la faille pour hijacker le panneau Gemini et accéder à des informations sensibles. Les implications de sécurité sont importantes, car les navigateurs agents comme Gemini reposent sur des actions effectuées pour des raisons légitimes, ce qui signifie que la prise de contrôle du panneau Gemini peut accorder un accès privilégié aux ressources système.
Perspective
Les navigateurs agents, tels que Gemini, pourraient devenir la norme pour les expériences de navigation dans le futur. Cependant, leur développement soulève de nouveaux défis en matière de cybersécurité, augmentant la surface d'attaque et mettant en danger la vie privée et les données des utilisateurs. Il est essentiel de traiter ces technologies avec prudence et de veiller à ce que les tests de sécurité soient effectués de manière approfondie pour prévenir les attaques potentielles.
