Les versions inférieures à 1.0.41 de l'extension Claude Chrome présentent une vulnérabilité critique d'injection de mots-clés, il est impératif de mettre à jour rapidement.

Deep Tide TechFlow information, le 27 mars, selon un rapport de GoPlus cité par Koi, une vulnérabilité critique d’injection de mots-clés dangereux a été identifiée dans l’extension Chrome Claude de la société Anthropic. Toutes les versions antérieures à 1.0.41 sont affectées.

Les attaquants peuvent créer des pages web malveillantes, charger en arrière-plan de manière silencieuse des iframes vulnérables aux attaques XSS, et exécuter des charges malveillantes dans le sous-domaine a-cdn.claude.ai. Étant donné que ce sous-domaine figure dans la liste blanche de confiance de l’extension, les attaquants peuvent envoyer directement des mots-clés malveillants à l’extension Claude et les exécuter automatiquement, sans nécessiter d’autorisation ou de clics de la part de l’utilisateur, de manière invisible.

Cette vulnérabilité permet aux attaquants de manipuler l’extension Claude pour lire les documents Google Drive de l’utilisateur, voler des jetons d’accès aux services ou exporter l’historique des conversations, et ainsi prendre le contrôle de la session du navigateur en agissant au nom de la victime, pour effectuer des opérations sensibles telles que l’envoi d’e-mails.

GoPlus recommande aux utilisateurs de mettre immédiatement à jour l’extension Claude vers la version 1.0.41 ou supérieure, tout en restant vigilant face aux liens de phishing.