Chrome's Nasty Little Secret: How Malicious Extensions Just Walked Through Your Front Door
A CVSS score of 8.8. That's how Google rated the Chrome vulnerability it just patched in January 2026, and frankly, that number doesn't fully capture how genuinely unsettling this one is.
According to The Hacker News, CVE-2026-0628 gave malicious extensions the ability to escalate their privileges and access files on your local system—all because Google's policy enforcement in the WebView tag had a hole you could drive a truck through.
Think of it this way: you installed what looked like a legitimate extension from the Chrome Web Store, and it was basically handed a skeleton key to your machine. That's the scale we're talking about.
Breaking It Down
Here's what makes this vulnerability particularly nasty. Extensions in Chrome operate in a sandboxed environment with specific permissions that users explicitly grant. That's the whole deal—you authorize them to do certain things, and they're supposed to stay in their lane. But CVE-2026-0628 threw that safeguard out the window.
The vulnerability lived in the WebView tag, which is essentially Chrome's mechanism for displaying web content within an extension's context. Insufficient policy enforcement there meant an attacker could weaponize this component to break free from the normal permission restrictions.
And then it got worse.
Once a malicious extension exploited this flaw, it wasn't just accessing random data—it was gaining the ability to read local files that should've been off-limits. We're talking about your downloads folder, your documents, potentially even sensitive configuration files. The privilege escalation was real.
So why does this matter so much? Because millions of people trust the Chrome Web Store. They install extensions for productivity, privacy, ad-blocking, whatever. They assume Google's vetting process actually catches the bad actors.
The Technical Side
For those who want the technical details: the vulnerability centered on how the WebView tag enforces content security policies and extension permissions. Normally, there's a clear boundary between what an extension can access and what's restricted based on user permissions and Chrome's security model.
A malicious actor could craft an extension that appears benign during the initial review, then uses the WebView vulnerability to escalate privileges at runtime. Once that happens, the permission sandbox collapses. Local file access becomes trivial.
The fix involved tightening policy enforcement to ensure WebView respects the extension permission model. Google patched this across Chrome versions in January 2026, but there's a window of time where vulnerable versions remain in the wild.
Who's Affected
Technically? Anyone running an unpatched version of Chrome who installed a malicious extension. But here's the brutal part—you might not even know you installed one. Scammers are excellent at camouflaging malware as legitimate tools.
The real question is whether any of these malicious extensions actually made it onto the Chrome Web Store before Google caught them. The security news coverage doesn't confirm active exploitation in the wild, which is either reassuring or suspicious depending on how paranoid you're feeling today.
What To Do Now
First: update Chrome immediately if you haven't already. Go to Settings > About Chrome and let it force-update if needed. Don't assume automatic updates caught this one.
Second: audit your extensions ruthlessly. Go through every single one. Does that password manager extension you installed three years ago still have 50 user reviews? Is that translator tool actually from a legitimate developer? If you can't justify why it's there, remove it.
Third: consider whether you even need browser extensions for what you're doing. I know that's inconvenient, but an extension is literally code running in your browser with access to everything you do online. The attack surface is massive.
Last point: this vulnerability sat in Chrome's codebase long enough that someone found it, weaponized it, and Google had to issue a patch with an 8.8 severity rating. That's a failure in the development process that goes beyond this single CVE. Watch for follow-ups on what else might've slipped through.
Темна сторона Chrome: як шкідливі розширення просто зайшли до вас крізь передні двері
CVSS оцінка 8.8. Саме так Google оцінила вразливість Chrome, яку вона щойно закрила у січні 2026 року, і чесно кажучи, це число не повністю передає, наскільки тривожною є ця проблема.
За даними The Hacker News, CVE-2026-0628 давала шкідливим розширенням можливість підвищити привілеї та отримати доступ до файлів у вашій локальній системі—все тому, що забезпечення політики Google у тегу WebView мало люку, крізь яку можна проїхати вантажівці.
Уявіть так: ви встановили те, що виглядало як легітимне розширення з Chrome Web Store, і воно фактично отримало на руки майстер-ключ до вашої машини. Про такий масштаб ми говоримо.
Розбір питання
Ось що робить цю вразливість особливо небезпечною. Розширення в Chrome працюють в ізольованому середовищі з конкретними дозволами, які користувачі явно надають. Це вся суть—ви авторизуєте їх на певні дії, і вони мають залишатися в своїх межах. Але CVE-2026-0628 викинула цей захист у вікно.
Вразливість криялась у тегу WebView, який є, по суті, механізмом Chrome для відображення веб-контенту в контексті розширення. Недостатнє забезпечення політики там означало, що зловмисник міг заразити цей компонент, щоб вирватися з нормальних обмежень дозволів.
І потім все стало гірше.
Коли шкідливе розширення використовувало цю лазівку, це була не просто випадкова перехоплення даних—воно отримувало здатність читати локальні файли, які мали бути недосяжними. Йдеться про вашу папку завантажень, ваші документи, потенційно навіть конфіденційні файли конфігурації. Підвищення привілеїв було реальним.
Тож чому це так важливо? Тому що мільйони людей довіряють Chrome Web Store. Вони встановлюють розширення для продуктивності, приватності, блокування реклами, будь-чого. Вони припускають, що процес перевірки Google дійсно ловить поганих акторів.
Технічна сторона
Для тих, хто хоче технічні деталі: вразливість зосереджувалась на тому, як тег WebView забезпечує політики безпеки контенту та дозволи розширення. Нормально, існує чіткий кордон між тим, до чого розширення може отримати доступ, та тим, що обмежено на основі дозволів користувача та моделі безпеки Chrome.
Зловмисник міг створити розширення, яке виглядало нешкідливим під час первинної перевірки, а потім використати вразливість WebView, щоб підвищити привілеї під час виконання. Як тільки це трапляється, пісочниця дозволів колапсує. Доступ до локальних файлів стає тривіальним.
Виправлення включало посилення забезпечення політики, щоб переконатися, що WebView дотримується моделі дозволів розширення. Google закрила це у версіях Chrome у січні 2026 року, але існує період часу, коли вразливі версії залишаються в природі.
Хто постраждав
Технічно? Будь-хто, хто запускає неоновлену версію Chrome та встановив шкідливе розширення. Але ось жорстка реальність—ви можете навіть не знати, що встановили його. Шахраї виявляють великі навички в маскуванні шкідливого ПО під легітимні інструменти.
Реальне питання полягає в тому, чи будь-яке з цих шкідливих розширень насправді потрапило на Chrome Web Store до того, як Google їх спіймала. Висвітлення новин безпеки не підтверджує активного використання в природі, що є або заспокійливим, або підозрілим в залежності від того, наскільки параноєю ви почуваєтеся сьогодні.
Що робити зараз
По-перше: негайно оновіть Chrome, якщо ви цього ще не зробили. Перейдіть до Налаштування > Про Chrome і дозвольте йому примусово оновитися, якщо потрібно. Не припускайте, що автоматичні оновлення спіймали це.
По-друге: беспощадно перевірте ваші розширення. Пройдіться через кожне одне. Це розширення для управління паролями, яке ви встановили три роки тому, все ще має 50 відгуків користувачів? Це розширення для перекладу насправді від легітимного розробника? Якщо ви не можете обґрунтувати, чому воно там, видаліть його.
По-третє: подумайте, чи вам взагалі потрібні розширення браузера для того, що ви робите. Я знаю, що це незручно, але розширення—це буквально код, що запускається у вашому браузері з доступом до всього, що ви робите в Інтернеті. Поверхня атаки величезна.
Останній момент: ця вразливість залишалась у кодовій базі Chrome досить довго, щоб хтось її знайшов, використав та Google довелось видати патч з оцінкою серйозності 8.8. Це невдача у процесі розробки, яка виходить далеко за межі цього окремого CVE. Слідкуйте за подальшими новинами про те, що ще могло пройти непомічено.