文章总结： Google发布紧急安全更新修复Chrome高危漏洞CVE-2026-0628，该漏洞源于WebView标签组件策略执行不充分，可能导致攻击者绕过安全限制造成数据泄露或代码执行。用户应立即通过设置更新至Chrome143.0.7499.192及以上版本，企业组织需优先部署补丁以降低风险。 综合评分： 84 文章分类： 漏洞预警,WEB安全,终端安全

Chrome WebView 漏洞（CVE-2026-0628）可绕过安全限制

船山信安

2026年1月11日 17:00 湖南

紧急安全更新发布

Google 已针对 Chrome 浏览器发布紧急安全更新，修复 WebView 标签组件中存在的高危漏洞（CVE-2026-0628），该漏洞可能允许攻击者绕过关键安全限制。目前 Google 已通过稳定渠道向 Windows 和 Mac 用户推送 Chrome 143.0.7499.192/.193 版本，Linux 版本为 143.0.7499.192。

该更新将在未来数日乃至数周内逐步向用户推送。此安全漏洞源于 WebView 标签组件中的策略执行不充分问题。

| CVE编号 | 严重等级 | 受影响组件 | 漏洞描述 | | — | — | — | — | | CVE-2026-0628 | 高危 | WebView标签 | WebView标签策略执行不充分 |

WebView组件安全风险

WebView 是 Chrome 的核心组件，允许应用程序在界面内直接显示网页内容而无需启动完整浏览器。该漏洞被评定为高危等级，意味着攻击者可能借此绕过安全控制，导致未经授权的访问、数据泄露，或在调用 WebView 的应用程序中执行恶意代码。

漏洞披露策略

遵循负责任的漏洞披露原则，Google 已暂时限制获取该漏洞的详细技术信息，直至大多数用户完成安全补丁安装。这一措施可有效防止恶意分子在用户更新系统期间利用该漏洞。

Google 特别致谢外部安全研究人员的贡献，并重申其对协作安全实践的承诺。在开发周期中，Google 采用多种检测方法识别漏洞，包括 AddressSanitizer、MemorySanitizer、UndefinedBehaviorSanitizer、控制流完整性（Control Flow Integrity）、libFuzzer 和 AFL。

用户应对措施

用户应立即通过「设置 > 帮助 > 关于 Google Chrome」路径更新至最新版本，浏览器将自动检查并安装可用更新。企业环境中部署 Chrome 的组织应优先在全基础设施范围内实施此安全补丁。

Google 持续通过漏洞赏金计划鼓励安全研究人员报告漏洞，强调全球用户保护工作中协作安全的重要性。

参考来源：

Chrome “WebView” Vulnerability Allows Hackers to Bypass Security Restrictions

转自：https://www.freebuf.com/articles/web/465410.html

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：船山信安 《Chrome WebView 漏洞（CVE-2026-0628）可绕过安全限制》