Нещодавно Google оприлюднила, а потім швидко приховала дані про серйозну багаторічну вразливість у Chromium.
Цю вразливість вперше виявили ще у 2022 році, і вона досі не була виправлена. Як зазначає дослідниця Ліра Ребане, яка її виявила, Google приховала звіт про помилку, не провівши належної перевірки впливу вразливості на безпеку веббраузера.
Ребане пояснює, що проблема пов’язана з API фонового завантаження Chromium, який може активувати Service Worker після того, як користувач відвідає небезпечні сайти. Google зазначає, що Service Worker є спеціалізованими компонентами JavaScript, які виконують роль посередників між веббраузерами та серверами, забезпечуючи підвищену надійність завдяки можливості роботи в автономному режимі та швидшому завантаженню сторінок.
Виявлена помилка у коді призводила до того, що Service Worker продовжував функціонувати навіть після перезавантаження пристрою або браузера. Сам по собі Service Worker не є небезпечним, але його можна використовувати для моніторингу активності користувачів в інтернеті за допомогою тимчасових міток, журналів IP-адрес та інших телеметричних даних.
Ще більшу загрозу становить те, що Service Worker може запускати шкідливі програми, які зберігаються на віддалених серверах, використовуватися в атаках типу “відмова в обслуговуванні” проти конкретних цілей та бути включеним у розподілену мережу ботів з обмеженими шкідливими можливостями. Ребане зазначає, що випадково розкритий Google код може спростити використання цієї вразливості.
Проте для того, щоб перетворити вразливість на зброю за допомогою бот-мережі, все ж потрібні певні технічні навички та зусилля. Після звіту Ребане Google не вжила жодних заходів протягом 4 років, перш ніж випадково оприлюднила інформацію про вразливість.
Розробники Chrome швидко приховали звіт, але сторінка вже була заархівована і залишається доступною разом з кодом PoC, опублікованим Ребане. Спочатку дослідниця була впевнена, що інформація про вразливість стала публічною і що Google виправила помилку, але швидко з’ясувала, що це не так.
Створення Service Worker супроводжуватиметься появою діалогового вікна в Google Chrome, тоді як в Microsoft Edge це відбуватиметься без попередження користувача. Оскільки Mozilla Firefox та Apple Safari не підтримують Fetch API, ця проблема, ймовірно, їх не торкнеться.
СпецпроєктиGoogle Cloud Next ’26: Як AI-агенти змінюють бізнесНайтонший робот-пилосос в Україні: що варто знати про Dreame X60 Ultra Complete
Крах міфу про безпечну ОС: 11-річну вразливість Linux широко використовують програми-вимагачі
Джерело: TechSpot
Цікаво, як такі серйозні вразливості можуть залишатися непоміченими роками. Сподіваюся, Google нарешті візьметься за їхнє оперативне виправлення і підвищить прозорість у питаннях безпеки.
Так, іноді складність коду та масштаби проекту ускладнюють швидке виявлення вразливостей. Сподіваємося, Google посилить контроль і відкритість, щоб уникнути подібних випадків у майбутньому.