كشفت منصة The Hacker News أن باحثين في الأمن السيبراني أعلنوا عن تفاصيل ثغرة أمنية خطيرة في متصفح جوجل كروم، كانت تسمح – قبل ترقيعها – لبعض الإضافات الخبيثة برفع صلاحياتها والوصول إلى ملفات محلية على جهاز المستخدم عبر استغلال لوحة Gemini الجديدة داخل المتصفح.

أوضحت المنصة أن الثغرة تحمل الرقم CVE-2026-0628 بتقييم خطورة 8.8 على مقياس CVSS، ووُصفت بأنها نتيجة «قصور في تطبيق السياسات» داخل وسم WebView المسؤول عن عرض محتوى معين داخل واجهة كروم.​

أشارت تفاصيل الثغرة في قاعدة البيانات الوطنية للأعطال NVD إلى أن المشكلة كانت تسمح لمهاجم يقنع المستخدم بتثبيت إضافة خبيثة بأن يحقن شفرات JavaScript أو محتوى HTML داخل صفحة ذات صلاحيات أعلى، من خلال امتداد كروم مُصمَّم خصيصًا لاستغلال الخلل في WebView.​

أكد التقرير أن الاستغلال الناجح كان يمكّن الإضافة من تنفيذ شفرات داخل لوحة Gemini في كروم – الموجودة على العنوان gemini.google[.]com/app – مع الوصول إلى قدرات أوسع من المفترض أن تكون محجوزة لواجهة Gemini فقط، بما في ذلك الوصول إلى ملفات محلية على النظام في بعض السيناريوهات.

أوضحت The Hacker News أن إضافات كروم تعمل عادة ضمن مجموعة محددة من الصلاحيات يوافق عليها المستخدم، لكن الثغرة CVE-2026-0628 كانت تقوّض هذا النموذج؛ إذ تمكن امتداد يملك صلاحيات أساسية عبر واجهة declarativeNetRequest من الوصول غير المباشر إلى إمكانات إضافية عبر لوحة Gemini.​

أشار الباحث الأمني Tal Weizman إلى أن تحميل تطبيق Gemini داخل مكوّن اللوحة الجديد في كروم يمنحه ربطًا بخدمات وقدرات قوية، وأن نجاح الإضافة في حقن كود داخل هذه اللوحة يفتح الباب أمام تنفيذ أوامر لم يكن من المفترض أن تكون في متناول الامتداد وفق نموذج الأمان التقليدي للمتصفح.

أكد التقرير أن جوجل أصدرت تصحيحًا للثغرة في أوائل يناير 2026 مع إصدار كروم 143.0.7499.192/193 على ويندوز وماك، وإصدار 143.0.7499.192 على لينكس، ما يعني أن الإصدارات الأحدث من هذه النسخ تحتوي بالفعل على الإصلاح ولا تتأثر بالثغرة.

أوضحت الشركة في توصيف الثغرة أن الاستغلال يتطلب من المهاجم أولًا إقناع المستخدم بتثبيت إضافة خبيثة أو اختراق إضافة موجودة بالفعل، ثم استغلال ضعف السياسات داخل WebView للوصول إلى لوحة Gemini، داعية المستخدمين إلى تحديث كروم بانتظام وحذف الإضافات المشبوهة أو غير الضرورية.