Google ошибочно опубликовала код эксплойта для неустраненной критической уязвимости в платформе Chromium, на которой основаны популярные браузеры, в частности Chrome и Microsoft Edge. Потенциально эта ошибка затрагивает миллионы пользователей по всему миру.
Об этом сообщает ProIT
Опасная уязвимость в Browser Fetch
Обнаруженная проблема связана с интерфейсом Browser Fetch, который отвечает за фоновую загрузку больших файлов и видео. Злоумышленники могут воспользоваться эксплойтом для организации устойчивого соединения с устройством жертвы, получая возможность отслеживать действия пользователя в браузере. Кроме того, через эту уязвимость устройство можно использовать как прокси-сервер для доступа к другим сайтам или для запуска DDoS-атак. Особенно опасно, что соединение может сохраняться или автоматически восстанавливаться даже после перезапуска браузера или перезагрузки устройства.
Возможности эксплойта и реакция Google
Исследовательница Лира Ребейн, которая первой обнаружила эту проблему и сообщила о ней Google еще в 2022 году, подчеркивает, что для активации эксплойта достаточно посетить вредоносный сайт. В таком случае устройство пользователя может оказаться в составе ограниченного ботнета, что позволяет анонимно просматривать сайты, проксировать трафик или осуществлять кибератаки.
Исследовательница отметила, что использовать опубликованный код «достаточно просто», хотя для создания большой сети зараженных устройств потребуются дополнительные усилия.
В системе Chromium этой уязвимости присвоен высокий приоритет важности. Проблема оставалась неизвестной общественности почти четыре года, но недавно материалы по ней вместе с кодом эксплойта появились в открытом трекере ошибок Chromium. Хотя Google оперативно удалила информацию, копии остались в архивах. Сейчас компания подтвердила, что работает над решением этой серьезной проблемы.