Vulnerabilidad en Chrome permite a extensiones maliciosas escalar privilegios
Publicado el
Descubrimiento de la vulnerabilidad en Chrome
Recientemente, se han divulgado detalles sobre una vulnerabilidad crítica en Google Chrome que podría haber permitido a atacantes escalar privilegios y acceder a archivos locales. Este fallo, registrado como CVE-2026-0628 y con una puntuación CVSS de 8.8, fue calificado como un caso de insuficiente aplicación de políticas en la etiqueta WebView. Google lanzó un parche para corregir esta vulnerabilidad en enero de 2026, en la versión 143.0.7499.192/.193 para Windows y Mac, y 143.0.7499.192 para Linux.
Detalles técnicos de la vulnerabilidad
Según la base de datos nacional de vulnerabilidades (NVD) del NIST, la vulnerabilidad permitía a un atacante que convenciera a un usuario de instalar una extensión maliciosa inyectar scripts o HTML en una página privilegiada a través de una extensión de Chrome diseñada específicamente. Gal Weizman, investigador de Palo Alto Networks Unit 42, fue quien descubrió y reportó la falla el 23 de noviembre de 2025. Este problema podría haber permitido que extensiones maliciosas, con permisos básicos, tomaran control del nuevo panel Gemini Live en Chrome, que se activa mediante el icono de Gemini en la parte superior de la ventana del navegador.
Riesgos asociados a la integración de Gemini
La integración de Gemini en Chrome, añadida en septiembre de 2025, abre un nuevo vector de ataque. Un atacante podría haber aprovechado esta vulnerabilidad para escalar privilegios y acceder a la cámara y micrófono del usuario sin su consentimiento, tomar capturas de pantalla de cualquier sitio web y acceder a archivos locales. Este hallazgo pone de manifiesto los riesgos emergentes que surgen de la incorporación de capacidades de inteligencia artificial (IA) y agentes en los navegadores, ya que estas funciones pueden ser mal utilizadas para realizar acciones privilegiadas.
La necesidad de conceder acceso privilegiado a estos agentes de IA para realizar operaciones complejas presenta un dilema. Un atacante podría incrustar comandos ocultos en una página web maliciosa, engañando al usuario para que acceda a ella a través de ingeniería social. Estos comandos podrían instruir al asistente de IA para que realizara acciones que, de otro modo, estarían bloqueadas por el navegador, lo que podría resultar en exfiltración de datos o ejecución de código.
Implicaciones para la seguridad del navegador
Además de aumentar la superficie de ataque, la integración de un panel de IA en navegadores con capacidades de agente revive los riesgos clásicos de seguridad de los navegadores. Weizman advirtió que, al introducir este nuevo componente dentro del contexto de alto privilegio del navegador, los desarrolladores podrían crear sin querer nuevas fallas lógicas y debilidades de implementación. Esto podría incluir vulnerabilidades relacionadas con cross-site scripting (XSS), escalada de privilegios y ataques de canal lateral que pueden ser explotados por sitios web o extensiones de navegador con menos privilegios.
Las extensiones operan bajo un conjunto de permisos definidos, pero la explotación exitosa de CVE-2026-0628 socava el modelo de seguridad del navegador. Permite a un atacante ejecutar código arbitrario en gemini.google[.]com/app a través del panel del navegador, accediendo a datos sensibles.
Weizman subrayó que una extensión con acceso a un conjunto básico de permisos a través de la API declarativaNetRequest podría haber habilitado a un atacante para inyectar código JavaScript en el nuevo panel de Gemini. Esta API es utilizada por extensiones para interceptar y modificar propiedades de solicitudes y respuestas web HTTPS, lo que significa que un atacante solo necesita engañar a un usuario desprevenido para que instale una extensión diseñada, que luego podría inyectar código JavaScript arbitrario en el panel lateral de Gemini.
Conclusión
La vulnerabilidad CVE-2026-0628 es un recordatorio de la importancia de la seguridad en el desarrollo de software y la necesidad de evaluar cuidadosamente las capacidades que se integran en los navegadores. La línea entre el funcionamiento previsto de un componente y una falla de seguridad puede ser extremadamente delgada, lo que hace imprescindible que los usuarios permanezcan alerta y actualicen sus navegadores regularmente.