Chrome 143: почему тихий патч WebView касается не только браузера

6 января Google тихо выкатил обновление Chrome 143.0.7499.192 и 143.0.7499.193, и на первый взгляд это выглядит как обычная заплатка из бесконечной ленты патчей. Но внутри там закрыли CVE-2026-0628, уязвимость в WebView, то есть в том самом компоненте, который показывает веб-контент не только в браузере, но и в тысячах Android-приложений. Поэтому это история не про очередную дыру в Chrome, а про типичную боль современной экосистемы: один общий кусок кода используется везде, и если он дает слабину, эхо разлетится далеко за пределы окна браузера.

Официальная формулировка звучит сухо: insufficient policy enforcement in WebView tag. По-человечески это означает, что WebView в какой-то ситуации недостаточно жестко применяет политики безопасности. В норме он должен уважать Content Security Policy, то есть правила, которые не дают странице исполнять лишние скрипты, тащить контент с сомнительных доменов и превращать маленькую инъекцию в полноценный захват сессии. А в случае CVE-2026-0628 эти правила можно обойти, и дальше все упирается в то, кто и где сумеет этим воспользоваться.

Сценарий, который обсуждают чаще всего, приземленный и неприятный. Атакующий делает вредоносное расширение для Chrome и пытается довести пользователя до установки, через фишинг, рекламу, поддельные страницы с полезными инструментами. Дальше эксплойт использует CVE-2026-0628, чтобы протащить инъекцию скрипта или HTML туда, где ему быть нельзя, например в привилегированные страницы Chrome или во внутренние страницы расширений. И вот тут уже начинаются вещи, за которые люди потом неделями разгребают последствия: перехват куки и сессий, выдергивание данных, попытки дотянуться до того, что браузер считает доверенным контекстом. Именно поэтому багу дали статус high severity.

Почему это шире, чем Chrome

У большинства людей в голове Chrome это просто браузер. Но WebView это общий строительный блок. Тот же механизм живет в Android System WebView и открывает страницы внутри приложений, от банков и маркетплейсов до мессенджеров с встроенными окнами для ссылок. Плюс огромный пласт софта на Chromium, включая приложения на Electron и решения на базе Chromium Embedded Framework. Поэтому один баг в WebView это потенциально одна проблема на тысячи приложений разом. Не потому что все они одинаково уязвимы, а потому что у них общий фундамент.

Для контекста. В 2025 году Chrome закрывал семь 0-day, которые реально эксплуатировались в дикой природе. Там часто всплывали истории про V8 и type confusion, то есть ошибки класса memory corruption, когда неправильная обработка типов приводит к повреждению памяти и возможности выполнить произвольный код. CVE-2026-0628 не про это. Это не про пробитую память, а про обход политик, и в лоб оно не работает от одного только открытия страницы. Обычно нужно, чтобы пользователь сам принес проблему в дом, установив вредоносное расширение. Но у этой истории другой неприятный профиль: шире поверхность, потому что задета не только вкладка Chrome, а компонент, который крутится в самых разных местах.

Почему Google молчит о деталях

Уязвимость нашел исследователь Gal Weizman из PerimeterX и HUMAN Security 23 ноября 2025 года. Патч вышел 6 января 2026, то есть через 44 дня, классическая coordinated disclosure. Google традиционно не выкатывает полную технику сразу, чтобы не помочь тем, кто любит быстро разобрать патч и написать эксплойт под тех, кто еще не обновился. И тут начинается самая опасная зона любой такой истории: апдейт уже есть, но раскатывается постепенно, а значит у части людей и компаний окно уязвимости все еще открыто.

У Weizman, кстати, репутация человека, который умеет копать именно в CSP bypass и политике безопасности. В 2020 году он находил CVE-2020-6519, 0-day в Chrome, который позволял полностью обходить CSP на Chromium-браузерах, и под угрозой были версии с 73 (март 2019) до 83 (июль 2020). Этот бэкграунд хорошо объясняет, почему очередная история снова про политики, а не про красивый краш в движке.

Наш вердикт: технически это не самый простой в эксплуатации баг, потому что чаще всего нужно завести пользователя на установку расширения. Но по impact история высокая, потому что WebView это shared component, и одна трещина в нем потенциально бьет по целой экосистеме. В 2025-2026 мы уже видели, как быстро закрывается дистанция между выходом патча и появлением попыток его разобрать. Поэтому тут нет романтики и нет повода откладывать: обновление должно быть поставлено и применено сразу, иначе вы сами оставляете себе это окно.