Què és CVE-2026-0628
CVE-2026-0628 és la primera vulnerabilitat de seguretat important que Google va corregir a Chrome el 2026. Es tracta d’un error d’aplicació insuficient de polítiques (insufficient policy enforcement) al component WebView del navegador, concretament en la implementació de l’etiqueta <webview>. Està catalogada amb severitat alta i, segons la National Vulnerability Database, va rebre una puntuació CVSS 8.8.
El problema rau en el fet que determinades regles de seguretat que aïllen el contingut de les extensions de les pàgines privilegiades del navegador no s’apliquen de manera consistent. Aprofitant aquesta escletxa, una extensió maliciosa amb permisos bàsics podria injectar scripts o contingut HTML en contextos privilegiats que normalment li estarien vetats, saltant-se així les fronteres de seguretat que separen el contingut d’extensió de les pàgines internes de Chrome.
A qui afecta
L’error afecta les versions de Google Chrome anteriors a 143.0.7499.192 a Windows, macOS i Linux. Com que Chromium és la base de molts navegadors derivats (Edge, Brave, Opera, Vivaldi) i dels WebView que integren nombroses aplicacions —incloses les d’Android—, la superfície d’exposició és molt àmplia: qualsevol escenari que renderitzi contingut web mitjançant el motor de Chromium pot heretar el component vulnerable fins a la seva actualització.
L’investigador Gal Weizman, de l’equip Unit 42 de Palo Alto Networks, va descobrir i reportar el problema el 23 de novembre de 2025. Segons la seva anàlisi, l’error podia permetre que una extensió amb permisos bàsics prengués el control del nou panell de Gemini Live integrat a Chrome, fet que il·lustra el tipus d’abús de privilegis que habilitava.
Gravetat
La puntuació CVSS 8.8 situa aquest error en el rang alt. El seu perill real depèn d’un requisit previ: l’atacant necessita que la víctima instal·li una extensió maliciosa. Aquesta condició redueix l’explotabilitat immediata respecte d’un error d’execució remota sense interacció, però no l’elimina: les extensions fraudulentes o segrestades són un vector habitual, i una extensió aparentment inofensiva amb permisos mínims podria ampliar el seu abast abusant d’aquesta escletxa. És important destacar que, segons Google, en el moment del pedaç no constava explotació activa d’aquesta vulnerabilitat.
Mitigació i pedaç
La solució és actualitzar Chrome a la branca Stable 143.0.7499.192 (o posterior) a Windows, macOS i Linux. La majoria d’instal·lacions d’escriptori s’actualitzen de manera automàtica, però convé forçar la comprovació des de Configuració → Informació de Chrome i reiniciar el navegador perquè el pedaç tingui efecte. En entorns gestionats i en aplicacions que incrusten WebView/Chromium convé revisar la versió del motor i desplegar l’actualització corresponent. Com a bona pràctica permanent, audita i limita les extensions instal·lades: instal·la només les imprescindibles i de fonts de confiança, revisa’n els permisos i elimina les que no facis servir.
Si gestiones dispositius basats en Chromium, pots consultar la nostra fitxa d’Android, un dels sistemes que més depèn del motor de renderitzat de Chrome.