Google опубликовала код эксплойта для уязвимости в Chromium, о которой знала 29 месяцев, но не исправила. Проблема затрагивает Chrome, Edge, Brave и другие браузеры на основе Chromium, но не Firefox и Safari.
Эксплойт использует API Background Fetch для запуска фонового процесса, который превращает устройство в часть ботнета. Оно может участвовать в DDoS-атаках, быть прокси-сервером или отслеживать активность пользователя.
Уязвимость оставалась скрытой, но после публикации кода в баг-трекере Google удалила запись. Однако код сохранился в архивах. Патч до сих пор не выпущен.
Исследователь Лира Ребейн сообщила о проблеме в 2022 году. Два разработчика Chromium оценили её как серьёзную (S1). Ребейн рекомендует обращать внимание на неожиданные окна загрузок.
0 комментариев