Podatność w Google Chrome na Androida umożliwia zdalnemu atakującemu podrobienie zawartości paska adresu URL (Omnibox) poprzez spreparowaną stronę HTML. Mimo wysokiej oceny CVSS, producent klasyfikuje podatność jako niską z perspektywy bezpieczeństwa Chromium.
▸ Pokaż oryginał (EN)
Incorrect security UI in Google Chrome on Android prior to 144.0.7559.59 allowed a remote attacker to spoof the contents of the Omnibox (URL bar) via a crafted HTML page. (Chromium security severity: Low)
Błąd polega na nieprawidłowym wyświetlaniu interfejsu bezpieczeństwa (Incorrect security UI) w przeglądarce Google Chrome działającej na Androida. Atakujący może skonstruować spreparowaną stronę HTML, która po odwiedzeniu przez użytkownika powoduje wyświetlenie fałszywej treści w pasku adresu URL (Omnibox). Użytkownik widzi wówczas inny adres niż ten, na którym faktycznie się znajduje, co stwarza warunki do ataku phishingowego.
Atakujący może nakłonić użytkownika do przekonania, że znajduje się na zaufanej stronie (np. banku lub serwisu logowania), podczas gdy w rzeczywistości przegląda stronę kontrolowaną przez napastnika — co umożliwia wyłudzenie danych uwierzytelniających lub innych informacji wrażliwych.
Należy zaktualizować Google Chrome na Androida do wersji 144.0.7559.59 lub nowszej. Aktualizacja dostępna jest za pośrednictwem Google Play Store oraz zgodnie z informacjami opublikowanymi przez producenta pod adresem https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_13.html
Google Chrome na Androida w wersjach wcześniejszych niż 144.0.7559.59
Rozbieżność między oceną CVSS 9.8 (CRITICAL) a klasyfikacją producenta (Chromium security severity: Low) wynika prawdopodobnie z kontekstu wektora ataku — podatność dotyczy wyłącznie spoofingu interfejsu użytkownika (CWE-451), a nie bezpośredniego przejęcia systemu. Pomimo wysokiego wyniku CVSS rzeczywiste ryzyko jest ograniczone do scenariuszy phishingowych.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApple macOS
OSApplewszystkie wersjeGoogle Chrome
APPGoogle< 144.0.7559.59< 144.0.7559.60Linux Kernel
OSLinuxwszystkie wersjeMicrosoft Windows
OSMicrosoftwszystkie wersje
Powiązane podatności
Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów
Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty
Apple iOS/iPadOS/macOS — out-of-bounds write przy przetwarzaniu obrazu
Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP
Apple: Obejście Pointer Authentication w iOS, macOS i innych platformach