关键信息 漏洞标题 Security: Extensions can run code in the local/instant NTP 问题描述 Chrome版本: 63.0.3239.108 问题: Chrome扩展程序可以拦截脚本请求并在本地NTP页面(chrome-search: //local-ntp/local-ntp.html)中运行JS代码。该页面是一种特权页面,具有以下功能: - 可以在Omnibox中输入文本 - 可以窃取焦点(即使其他应用程序已聚焦) - 可以查询和操作浏览历史(最常访问的站点) 复现步骤 1. 加载附带的扩展程序(这将打开本地NTP)。 预期结果 打开一个新的标签页,页面内容显示正常。 实际结果 打开一个新的标签页,页面内容持续旋转,Omnibox不断更新并从其他应用程序中窃取焦点。 利用说明 本地NTP加载来自chrome-search: //local-ntp/one-google.js的脚本,并使用结果在页面中注入额外的HTML、脚本和CSS。扩展可以以某种方式拦截此请求,并在NTP中运行任意脚本,滥用其特权。 参考链接 [local_ntp.js] (https://chromium.googlesource.com/chromium/src/+/5ea97e516ffd9d05c899d2a0fb308332f73c259c/chrome/browser/resources/local_ntp/local_ntp.js#549) [OneGoogleBarFetcherImpl] (https://chromium.googlesource.com/chromium/src/+/818b1378d1974d65a4dd24f2e9f43711afdffe93/chrome/browser/search/one_google_bar/one_google_bar_fetcher_impl.cc#488) 状态 类型: 漏洞 优先级: P2 严重性: S3 状态: 已修复