Microsoft łata CVE-2026-0628 w Edge: co zmienia aktualizacja i dlaczego wersja 144 jest istotna

Wprowadzenie do problemu / definicja luki

Microsoft domyka w przeglądarce Edge lukę oznaczoną jako CVE-2026-0628, wynikającą z błędu w kodzie Chromium. Problem jest o tyle istotny, iż dotyczy mechanizmów egzekwowania polityk bezpieczeństwa w kontekście rozszerzeń przeglądarki — a to właśnie rozszerzenia są jednym z najczęstszych wektorów ataków na użytkowników końcowych (phishing, kradzież sesji, wstrzykiwanie treści).

W skrócie

• CVE-2026-0628 to błąd „insufficient policy enforcement” w funkcjonalności WebView tag (Chromium), umożliwiający wstrzyknięcie skryptu/HTML do uprzywilejowanej strony po nakłonieniu użytkownika do instalacji złośliwego rozszerzenia.
• Luka została załatana upstreamowo w Chrome 143.0.7499.192/.193 (wydanie z 6 stycznia 2026).
• W ekosystemie Edge zalecane jest przejście na wersję co najmniej 143.0.3650.139 (lub nowszą).
• Dokumentacja Microsoftu wskazuje, iż Edge 144 ma datę wydania 15 stycznia 2026, więc poprawka będzie „po drodze” również w tej linii wydań.

Kontekst / historia / powiązania

Edge jest przeglądarką opartą o Chromium, więc duża część krytycznych poprawek bezpieczeństwa pochodzi bezpośrednio z projektu Chrome/Chromium i jest później „konsumowana” przez wydania Edge. W tym przypadku Google opublikowało poprawkę jako element aktualizacji stabilnej gałęzi Chrome z 6 stycznia 2026, wskazując CVE-2026-0628 jako błąd o randze High.

Z perspektywy Microsoftu temat wypłynął w mediach wraz z komunikacją o poprawce w Edge oraz nadchodzącym wydaniu Edge 144.

Analiza techniczna / szczegóły luki

Co jest podatne?

Opis CVE wskazuje na niewystarczające egzekwowanie polityk w komponencie „WebView tag” w Chrome/Chromium (dotyczy wersji Chrome sprzed 143.0.7499.192). Skutkiem jest możliwość wstrzyknięcia skryptów lub HTML do uprzywilejowanej strony poprzez specjalnie przygotowane rozszerzenie.

Jaki jest warunek ataku?

Ważny element tego CVE: atak wymaga socjotechniki — napastnik musi nakłonić użytkownika do instalacji złośliwego rozszerzenia. To nie jest typowy „drive-by” bez interakcji użytkownika.

Jak to klasyfikuje NVD?

Na stronie NVD widać m.in.:

• CWE-862 (Missing Authorization) przypisane przez CISA-ADP,
• oraz wektor CVSS v3.1 dodany przez CISA-ADP: AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H (czyli: zdalnie, niska złożoność, bez uprawnień, ale z wymaganą interakcją użytkownika).

(Uwaga praktyczna: NVD może jeszcze nie mieć pełnego własnego „enrichmentu” punktacji, ale sam wektor od CISA-ADP dobrze pokazuje profil ryzyka: „łatwe zdalnie”, ale z warunkiem UI.)

Praktyczne konsekwencje / ryzyko

Jeśli użytkownik zainstaluje złośliwe rozszerzenie, scenariusze ryzyka obejmują m.in.:

• Wstrzykiwanie treści w kontekście bardziej uprzywilejowanych stron (np. interfejsów/stron o podniesionych uprawnieniach), co może ułatwić kradzież danych, przechwytywanie interakcji użytkownika lub manipulację UI.
• Obejście ograniczeń bezpieczeństwa po stronie przeglądarki (często opisywane jako „security restriction bypass”).
• W środowiskach firmowych: podwyższone ryzyko, jeżeli użytkownicy mogą instalować rozszerzenia swobodnie lub jeżeli dopuszczone są sideloadowane dodatki (np. instalowane poza oficjalnym kanałem).

To nie jest „automatyczne RCE” na każdym komputerze — najważniejszy jest element instalacji rozszerzenia — ale w praktyce ten warunek bywa spełniany zaskakująco często przez dobrze przygotowane kampanie phishingowe.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników i zespołów IT (minimum)

1. Zaktualizuj Microsoft Edge do wersji 143.0.3650.139 lub nowszej (albo po prostu wymuś aktualizację do najnowszej stabilnej).
2. Zweryfikuj, czy aktualizacje są wdrażane także dla urządzeń rzadziej uruchamianych (VMI, kioski, terminale, komputery „na zapas”).

Dla organizacji (twarde kontrolki)

3. Polityki rozszerzeń: włącz allowlistę i ogranicz instalację do zatwierdzonych dodatków.
4. Ogranicz lub blokuj sideloading rozszerzeń (to częsty skrót wykorzystywany przez atakujących w środowiskach z luźniejszymi kontrolami).
5. Monitoruj telemetrię: zdarzenia instalacji/aktywacji rozszerzeń, nietypowe uprawnienia dodatków, nagłe zmiany ustawień przeglądarki.

Harmonogram (żeby nie zgubić kontekstu)

• Upstreamowa poprawka Chrome: 6 stycznia 2026.
• Edge 144 (wydanie web platform): 15 stycznia 2026.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W odróżnieniu od wielu „klasycznych” luk przeglądarkowych, gdzie wystarczy odwiedzić stronę z exploit-kit’em, tutaj:

• interakcja użytkownika jest kluczowa (instalacja rozszerzenia),
• ale z drugiej strony atakujący często preferują ten wektor, bo łatwo go „opakować” w wiarygodną legendę (fałszywe wtyczki do PDF, „bezpieczne” dodatki do Teams/Outlook, narzędzia do kuponów itp.).

W praktyce oznacza to, iż sama aktualizacja jest konieczna, ale polityka rozszerzeń i edukacja użytkowników realnie domykają temat.

Podsumowanie / najważniejsze wnioski

• CVE-2026-0628 to luka w Chromium dotycząca WebView tag i egzekwowania polityk; umożliwia wstrzyknięcie skryptów/HTML do uprzywilejowanej strony po instalacji złośliwego rozszerzenia.
• Poprawka pojawiła się upstreamowo w Chrome 143 (6 stycznia 2026) i jest dziedziczona przez Edge.
• Dla Edge praktyczny próg bezpieczeństwa to 143.0.3650.139+; Edge 144 jest „tuż za rogiem” (15 stycznia 2026).
• Największą redukcję ryzyka daje połączenie: aktualizacja + kontrola instalacji rozszerzeń.

Źródła / bibliografia

1. Techzine – informacja o poprawce w Edge i odniesienie do CVE-2026-0628. (Techzine Global)
2. NVD (NIST) – opis CVE-2026-0628, CWE-862 i wektor CVSS v3.1 od CISA-ADP. (NVD)
3. Chrome Releases (Google) – Stable Channel Update for Desktop (6 stycznia 2026), wskazanie CVE-2026-0628 jako High. (Chrome Releases)
4. HKCERT – rekomendacja aktualizacji Edge do 143.0.3650.139+. (hkcert.org)
5. Microsoft Learn – Microsoft Edge 144 web platform release notes (data wydania: 15 stycznia 2026). (Microsoft Learn)