CRITICAL✓ PATCH🇬🇧 English

CVE-2026-0907

UI spoofing w Google Chrome via błędny interfejs Split View

CVSS 9.8v3.1pub. 2026-01-20upd. 2026-01-29

Podatność w funkcji Split View przeglądarki Google Chrome umożliwia zdalnemu atakującemu przeprowadzenie ataku UI spoofing poprzez spreparowaną stronę HTML. Mimo przypisanej oceny CVSS 9.8 (CRITICAL), producent sklasyfikował podatność jako niską pod względem rzeczywistego zagrożenia bezpieczeństwa.

Pokaż oryginał (EN)

Incorrect security UI in Split View in Google Chrome prior to 144.0.7559.59 allowed a remote attacker to perform UI spoofing via a crafted HTML page. (Chromium security severity: Low)

🤖 Analiza AI
Jak działa

Błędna implementacja interfejsu bezpieczeństwa (Incorrect security UI) w komponencie Split View powoduje, że atakujący może wyświetlić użytkownikowi fałszywy interfejs przy użyciu odpowiednio spreparowanej strony HTML. Mechanizm ten jest zgodny z klasą CWE-451, oznaczającą wprowadzanie użytkownika w błąd co do wizualnej reprezentacji treści lub kontekstu bezpieczeństwa. Atak nie wymaga uwierzytelnienia, interakcja użytkownika ogranicza się jedynie do odwiedzenia spreparowanej strony.

Skutki

Atakujący może skutecznie podrobić elementy interfejsu użytkownika przeglądarki, co może prowadzić do wyłudzenia danych uwierzytelniających lub nakłonienia użytkownika do wykonania niepożądanych działań poprzez fałszywe wskazania wizualne.

Mitygacja

Należy zaktualizować Google Chrome do wersji 144.0.7559.59 lub nowszej. Aktualizacja dostępna jest za pośrednictwem wbudowanego mechanizmu aktualizacji przeglądarki lub na stronie producenta zgodnie z referencjami (chromereleases.googleblog.com).

Kogo dotyczy

Google Chrome w wersjach wcześniejszych niż 144.0.7559.59 na platformach Windows, Linux oraz macOS.

Uwagi

Istnieje wyraźna rozbieżność między oceną CVSS 9.8 (CRITICAL) a klasyfikacją producenta (Chromium security severity: Low). Administratorzy powinni kierować się oceną producenta przy priorytetyzacji wdrożenia patcha — rzeczywisty wpływ podatności jest ograniczony do UI spoofing bez możliwości bezpośredniego przejęcia systemu.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Apple macOS

    OS
    Apple
    wszystkie wersje
  • Google Chrome

    APP
    Google
    < 144.0.7559.59< 144.0.7559.60
  • Linux Kernel

    OS
    Linux
    wszystkie wersje
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-43300CRITICAL10.0⚠ KEVPL ✓ten sam produkt

Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2025-31201CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach