Пользователи Google Chrome, Edge, Opera и других браузеров на базе Chromium оказались под угрозой из-за критического бага, который Google игнорирует уже почти три года. Ошибка позволяет злоумышленникам превращать компьютеры в элементы ботнет-сетей, используя браузеры как прокси для атак или тайного отслеживания активности владельцев устройств.
Уязвимость в движке Chromium остается открытой 29 месяцев
Пользователи Google Chrome, Edge, Opera и других браузеров на базе Chromium оказались под угрозой из-за критического бага, который Google игнорирует уже почти три года. Ошибка позволяет злоумышленникам превращать компьютеры в элементы ботнет-сетей, используя браузеры как прокси для атак или тайного отслеживания активности владельцев устройств.
Исследователь безопасности Лира Ребане обнаружила брешь еще в конце 2022 года, классифицировав её как проблему уровня S1. Суть угрозы заключается в манипуляции API Browser Fetch, который отвечает за фоновую загрузку медиаконтента. Через сервис-воркеры хакеры получают возможность поддерживать постоянное соединение с браузером жертвы даже после перезагрузки системы. В некоторых случаях вредоносный код маскируется под безобидные сбои, например, кратковременное появление окна загрузок в Microsoft Edge.
Разработчики Chromium признали наличие дефекта, но не спешат с исправлением, ссылаясь на ограниченное использование функции фоновой загрузки. Попытка Ребане привлечь внимание к проблеме через публикацию кода эксплойта вынудила Google удалить информацию, однако сама дыра в безопасности никуда не делась. Поскольку Firefox и Safari не поддерживают технологию Browser Fetch, они остаются вне зоны риска, в то время как владельцы всех браузеров семейства Chromium продолжают подвергаться потенциальной атаке.
Комментарии (0)
Пока нет комментариев. Будьте первым!