Google опубликовала эксплойт-код для неустранённой уязвимости в кодовой базе своего браузера Chromium. Она угрожает миллионам пользователей Chrome, Microsoft Edge и практически всех других браузеров на основе движка.
Код использует программный интерфейс Browser Fetch, стандарт, позволяющий загружать длинные видео и другие большие файлы в фоновом режиме. Злоумышленник может использовать эксплойт для создания соединения с целью мониторинга некоторых аспектов использования браузера пользователем, а также в качестве прокси для просмотра сайтов и запуска атак типа «отказ в обслуживании». В зависимости от браузера, соединения либо возобновляются, либо остаются открытыми даже после перезагрузки браузера или устройства, на котором он запущен.
Уязвимость не могут устранить уже 29 месяцев. Она может быть использована любым веб-сайтом, который посещает пользователь. По сути, компрометация представляет собой бэкдор, который делает устройство частью ограниченной ботнет-сети. Возможности уязвимости диктуются теми же функциями, что и у обычного браузера, такими как посещение вредоносных сайтов, предоставление анонимного просмотра через прокси-сервер, организация DDoS-атак с использованием прокси и мониторинг активности пользователей.
Тем не менее, эта уязвимость может позволить злоумышленнику подключить к сети тысячи, возможно, миллионы устройств. Как только появится отдельный баг, хакер сможет использовать её для компрометации всех этих устройств.
«Опасность здесь в том, что вы можете просто объединить множество разных браузеров, чтобы в будущем запустить на них что-то», — сказала Лира Ребане, независимая исследовательница, обнаружившая уязвимость и сообщившая о ней Google в конце 2022 года, в интервью. Она рассказала, что использование кода эксплойта, преждевременно опубликованного Google, будет «довольно простым», хотя масштабирование его для подключения большого количества устройств к одной сети потребует глубокой работы. В ветке обсуждения сообщения Ребане Google два разработчика в отдельных ответах заявили, что это «серьёзная уязвимость». Её уровень был оценён как S1, второй по величине.
Ребане предположила, что уязвимость исправили, но выяснилось, что это не так, а Google позднее удалила сообщение с эксплойт-кодом.
«Я думаю, что произошедшее несколько нестандартно, поскольку не выходит за рамки каких-либо определённых границ безопасности. Таким образом, это не позволяет злоумышленнику, например, получить доступ к вашей электронной почте, компьютеру или чему-то подобному. Думаю, это привело к тому, что сотрудники Google не понимали сути задачи, и поэтому её решение заняло так много времени», — сказала исследователь.
Используя уязвимость API загрузки браузера, код открывает сервис-воркер, который остается постоянно активным. Соединение инициируется JavaScript, работающим на вредоносном сайте. Эксплойты особенно трудно обнаружить при запуске в Edge. JavaScript «может» открыть выпадающее окно загрузки, но не добавляет в него никаких элементов. При последующих запусках браузера это окно больше не будет отображаться. В Chrome выпадающее окно загрузки более устойчиво. В любом случае, менее опытные пользователи, скорее всего, сочтут такое поведение результатом ошибки и не будут знать, что их устройство скомпрометировано.
В закрытой теме сообщения об ошибке разработчик заявил, что, согласно логам, использование функции фоновой загрузки крайне ограничено в Chrome, в среднем «~17 завершенных файлов на пользователя в день». «Это довольно убедительное подтверждение того, что ничего ужасного в больших масштабах не происходит», — написал разработчик. Неизвестно, насколько широко эта функция используется в браузерах, отличных от Chrome. Ребане сказала, что сомневается в этом.
Тем не менее, пользователям браузеров на основе Chromium следует с подозрением относиться к выпадающим спискам загрузки, которые появляются без видимой причины. Среди таких браузеров — Brave, Opera, Vivaldi и Arc. Firefox и Safari не затронуты, поскольку они не поддерживают функцию загрузки браузера.
Осенью 2025 года исследователь кибербезопасности Хосе Пино выявил серьёзную уязвимость Brash в движке Blink, которая позволяет быстро вывести из строя многие браузеры на базе Chromium или спровоцировать падение всей системы. Он опубликовал PoC-эксплойт.
ссылка на оригинал статьи https://habr.com/ru/articles/1037648/