CRITICAL✓ PATCH🇬🇧 English

CVE-2026-0906

Fałszowanie paska adresu URL (Omnibox) w Google Chrome na Androida

CVSS 9.8v3.1pub. 2026-01-20upd. 2026-01-29

Podatność w Google Chrome na Androida umożliwia zdalnemu atakującemu podrobienie zawartości paska adresu URL (Omnibox) poprzez spreparowaną stronę HTML. Mimo wysokiej oceny CVSS, producent klasyfikuje podatność jako niską z perspektywy bezpieczeństwa Chromium.

Pokaż oryginał (EN)

Incorrect security UI in Google Chrome on Android prior to 144.0.7559.59 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. (Chromium security severity: Low)

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowym wyświetlaniu interfejsu bezpieczeństwa (Incorrect security UI) w przeglądarce Google Chrome działającej na Androida. Atakujący może skonstruować spreparowaną stronę HTML, która po odwiedzeniu przez użytkownika powoduje wyświetlenie fałszywej treści w pasku adresu URL (Omnibox). Użytkownik widzi wówczas inny adres niż ten, na którym faktycznie się znajduje, co stwarza warunki do ataku phishingowego.

Skutki

Atakujący może nakłonić użytkownika do przekonania, że znajduje się na zaufanej stronie (np. banku lub serwisu logowania), podczas gdy w rzeczywistości przegląda stronę kontrolowaną przez napastnika — co umożliwia wyłudzenie danych uwierzytelniających lub innych informacji wrażliwych.

Mitygacja

Należy zaktualizować Google Chrome na Androida do wersji 144.0.7559.59 lub nowszej. Aktualizacja dostępna jest za pośrednictwem Google Play Store oraz zgodnie z informacjami opublikowanymi przez producenta pod adresem https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_13.html

Kogo dotyczy

Google Chrome na Androida w wersjach wcześniejszych niż 144.0.7559.59

Uwagi

Rozbieżność między oceną CVSS 9.8 (CRITICAL) a klasyfikacją producenta (Chromium security severity: Low) wynika prawdopodobnie z kontekstu wektora ataku — podatność dotyczy wyłącznie spoofingu interfejsu użytkownika (CWE-451), a nie bezpośredniego przejęcia systemu. Pomimo wysokiego wyniku CVSS rzeczywiste ryzyko jest ograniczone do scenariuszy phishingowych.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Google Chrome

    APP
    Google
    < 144.0.7559.59< 144.0.7559.60
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach