Опубликовано: 22.05.2026, 00:26
Google раскрыла детали критической уязвимости в браузерах на движке Chromium — под угрозой Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc. Об этом сообщает Ars Technica.
Исследовательница Лира Ребане сообщила о проблеме Google еще в конце 2022 года, но спустя 29 месяцев она остается неустраненной. Опубликованный код позволяет злоумышленникам через сервис-воркеры (запускаемые JavaScript на вредоносном сайте) поддерживать постоянное соединение с браузером пользователя. Уязвимость превращает устройство в элемент ботнет-сети: хакеры могут использовать браузер как прокси для анонимного доступа к сайтам, организовывать DDoS-атаки и отслеживать активность. В некоторых браузерах соединение сохраняется даже после перезапуска.
Ребане отметила, что эксплуатация не требует сложной подготовки, хотя масштабирование атаки потребует ресурсов. В Google проблеме присвоили уровень S1 (второй по критичности). Особую сложность для обнаружения эксплойт представляет в Edge: вредоносный сценарий создает пустое окно загрузок, которое при повторном запуске больше не отображается. В Chrome индикатор заметнее, но пользователи могут принять это за обычный сбой.
Позже Google удалила сообщение с эксплойт-кодом, предположительно, после того как стало ясно, что исправление не внедрено. Один из разработчиков Chromium заявил, что функция фоновой загрузки (Browser Fetch API) используется ограниченно, что указывает на отсутствие массовой эксплуатации. Проблема не затрагивает Firefox и Safari, так как они не поддерживают Browser Fetch.
