Уязвимость Chromium угрожает миллионам пользователей Chrome и Edge с 2022 года

Google опубликовала детали критической уязвимости, которая затрагивает браузеры на базе движка Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc. Об этом сообщает Ars Technica.

Исследователь безопасности Лира Ребане сообщила об уязвимости Google еще в конце 2022 года. Однако спустя 29 месяцев проблема остается неустраненной. По словам эксперта, опубликованный код позволяет злоумышленникам поддерживать постоянное соединение с браузером пользователя через сервис-воркеры, инициируемые JavaScript-кодом на вредоносном сайте.

Уязвимость фактически превращает устройство в элемент ограниченной ботнет-сети. Через нее злоумышленники могут использовать браузер как прокси для анонимного доступа к сайтам, организовывать DDoS-атаки и отслеживать отдельные аспекты пользовательской активности. В ряде браузеров соединение сохраняется даже после перезапуска программы или устройства.

Ребане отметила, что эксплуатация опубликованного кода не требует сложной подготовки, хотя масштабирование атаки на большое число устройств потребует дополнительных ресурсов. Внутри Google проблему классифицировали как уязвимость уровня S1 — второго по степени критичности.

Особую сложность для обнаружения представляет работа эксплойта в Microsoft Edge. Вредоносный сценарий способен инициировать появление пустого окна загрузок, которое после повторного запуска браузера больше не отображается. В Google Chrome индикатор загрузки заметнее, однако большинство пользователей, вероятно, воспримут такое поведение как обычный сбой.

Позднее Google удалила сообщение с эксплойт-кодом, предположительно, после того, как стало ясно, что исправление так и не было внедрено. При этом один из разработчиков Chromium заявил, что функция фоновой загрузки используется ограниченно, что указывает на отсутствие масштабной эксплуатации уязвимости.

Отмечается, что проблема связана с API Browser Fetch, механизмом фоновой загрузки крупных файлов и видеоконтента. Из-за этого уязвимость не затрагивает Mozilla Firefox и Safari, поскольку эти браузеры не поддерживают Browser Fetch.