發布編號：OIS-CTI-2026-03-001

情資來源： iThome、Palo Alto Networks Unit 42

事件類型：漏洞修補公告、權限提升、隱私外洩風險

內容說明：

Google 於 2026 年 1 月修補了一個影響 Chrome 瀏覽器的高風險漏洞 CVE-2026-0628（CVSS 分數為 8.8）。資安業者 Palo Alto Networks 揭露，該漏洞源於 Chrome 內建的 WebView 標籤政策未正確強制執行，導致攻擊者可利用惡意擴充功能（Extension）劫持瀏覽器內建的 Gemini 側邊面板（Gemini Live）。

當使用者安裝特製的惡意擴充功能後，攻擊者能透過攔截與調整網頁請求，將惡意指令碼（JavaScript）注入具有高權限的 Gemini 頁面。由於 Gemini 側邊面板被設計為瀏覽器的核心元件並擁有較高權限，一旦遭到劫持，攻擊者將獲得超出一般網頁範圍的操作能力，包括：

• 讀取本機檔案與目錄： 跨越瀏覽器沙盒限制存取使用者電腦檔案。

• 非法監控： 在未經使用者同意下，逕行開啟麥克風或攝影機進行錄音錄影。

• 持續性攻擊： 透過注入指令操控 AI 助理將惡意指令暫存於記憶中，影響後續的對話與瀏覽行為。

影響平台：

• Google Chrome 桌面版： 版本號 143.0.7499.192 之前 的所有版本。

• 主要受影響功能為整合於側邊面板的 Gemini / Gemini Live 服務。

建議措施：

• 立即更新瀏覽器： 請確保 Chrome 瀏覽器已更新至 143.0.7499.192 或更高版本（建議檢查：設定 > 關於 Chrome）。

• 審核擴充功能： 檢查並移除不必要或來源不明的 Chrome 擴充功能，僅從官方 Chrome 線上應用程式商店下載，並留意開發者信譽。

• 權限最小化原則： 於瀏覽器設定中定期檢視「隱私權與安全性」下的網站設定，確認麥克風與攝影機的存取權限是否僅授予信任的網站。

• 企業端部署： 企業管理者應透過 GPO 或 Chrome 瀏覽器雲端管理工具，強制執行版本更新並限制員工安裝未經許可的擴充功能。

參考連結 ：

https://www.ithome.com.tw/news/174143

https://nvd.nist.gov/vuln/detail/CVE-2026-0628

https://unit42.paloaltonetworks.com/chrome-extension-vulnerability-gemini-side-panel/