Google случайно опубликовала код эксплойта для еще не устраненной уязвимости в браузерной платформе Chromium, которая потенциально затрагивает миллионы пользователей Chrome, Microsoft Edge и других браузеров на этой базе. Об этом сообщает Ars Technica.
Уязвимость связана с интерфейсом Browser Fetch, который используется для фоновой загрузки крупных файлов и видео. Эксплойт позволяет злоумышленнику создать постоянное соединение для отслеживания отдельных действий пользователя в браузере, а также использовать устройство в качестве прокси-сервера для посещения сайтов или запуска DDoS-атак. В некоторых случаях соединение способно сохраняться или автоматически восстанавливаться даже после перезагрузки браузера или устройства.
По данным исследовательницы Лиры Ребейн, обнаружившей проблему и сообщившей о ней Google еще в конце 2022 года, для эксплуатации достаточно посещения вредоносного сайта. В результате устройство фактически может стать частью ограниченного ботнета с возможностью анонимного просмотра сайтов, проксирования трафика и выполнения атак.
Исследовательница отметила, что использовать опубликованный код «довольно просто», хотя для создания крупной сети зараженных устройств потребуются дополнительные усилия. Внутри системы Chromium проблема получила высокий приоритет важности.
Уязвимость оставалась неизвестной для широкой аудитории почти четыре года, однако недавно появилась в открытом трекере ошибок Chromium вместе с кодом эксплойта. Позже Google удалила публикацию, однако она сохранилась в архивных сервисах. Компания заявила, что знает о ситуации и уже работает над исправлением.
Ранее хакеры выставили данные сотен миллионов пользователей OnlyFans.
