Случайное раскрытие Google выявило непатченный уязвимость Chromium
Google случайно обнародовала детали непатченной уязвимости Chromium, позволяющей JavaScript работать в фоновом режиме после закрытия браузера, что может привести к удалённому выполнению кода.
Google случайно раскрыла детали непатченной уязвимости в движке браузера Chromium, которая позволяет JavaScript-коду продолжать работу в фоновом режиме даже после закрытия браузера, что потенциально может привести к удалённому выполнению кода. Проблема, первоначально выявленная исследователем безопасности Лирой Ребане в декабре 2022 года, была признана Google, но остаётся нерешённой.
Уязвимость позволяет злоумышленникам создавать вредоносные веб-страницы с постоянными Service Workers, что даёт возможность JavaScript-коду выполняться на устройствах пользователей без их ведома. Ребане подчеркнула риск, заявив, что злоумышленники могут использовать это для создания ботнетов без осведомлённости пользователей о фоновом выполнении.
Несмотря на то, что уязвимость была помечена как исправленная в феврале 2026 года, она сохраняется. Ребане обнаружила, что проблема остаётся эксплуатируемой в Chrome Dev 150 и Edge 148, отметив, что в Edge эксплойт работает тихо, без уведомлений пользователя.
Уязвимость затрагивает все браузеры на базе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc. Учитывая широкое распространение этих браузеров, риск для пользователей значителен. Ожидается, что Google приоритетно выпустит патч для оперативного устранения этой проблемы.