⚡ Терміново
UkrPulse
UkrPulse
Кібербезпека

Google приховала 4-річну вразливість у Chromium

· 2 хв читання
Google приховала 4-річну вразливість у Chromium
Компанія Google приховала багаторічну вразливість у браузері Chromium, яка існувала з 2022 року. Зловмисники могли використати її для відстеження користувачів, зараження пристроїв та організації кібератак. Найбільш схильні до ризику браузери на базі Chromium, зокрема Google Chrome та Microsoft Edge.

Google приховала багаторічну вразливість у Chromium: чим це небезпечно

Компанія Google нещодавно опублікувала, а потім швидко видалила інформацію про серйозну вразливість у Chromium, яка залишалася невиправленою з 2022 року.

Як було виявлено проблему

Дослідниця кібербезпеки Ліра Ребане першою виявила цю вразливість, проте Google приховала звіт про неї, не провівши належної перевірки щодо її впливу на безпеку браузера.

У чому суть вразливості

Проблема пов’язана з API фонового завантаження Chromium, який може активувати Service Worker після відвідування користувачем небезпечних вебсторінок. Service Worker — це спеціалізовані JavaScript-компоненти, що виконують роль посередників між браузером і сервером, забезпечуючи роботу в автономному режимі та швидше завантаження сторінок.

Однак виявлена помилка призводила до того, що Service Worker продовжував працювати навіть після перезавантаження пристрою або браузера. Хоча сам по собі Service Worker не є небезпечним, зловмисники можуть використати його для:

  • відстеження активності користувачів за допомогою тимчасових міток та журналів IP-адрес;
  • запуску шкідливих програм, що зберігаються на віддалених серверах;
  • проведення атак типу «відмова в обслуговуванні» (DDoS);
  • включення пристрою до ботнету з обмеженими шкідливими можливостями.

Ребане зазначає, що випадково розкритий Google код значно спрощує експлуатацію цієї вразливості, хоча для її використання в масштабних атаках все ще потрібні певні технічні навички.

Реакція Google та стан проблеми

Попри звіт Ребане, Google протягом чотирьох років не вживала жодних заходів. Інформація про вразливість була випадково оприлюднена, а потім швидко прихована, проте сторінка вже встигла потрапити до архівів разом із кодом Proof of Concept, опублікованим дослідницею.

Спочатку Ребане вважала, що вразливість була виправлена, але згодом з’ясувала, що це не так.

Які браузери у зоні ризику

Проблема стосується переважно браузерів на базі Chromium:

  • Google Chrome — при спробі створення Service Worker з’являється діалогове вікно з попередженням;
  • Microsoft Edge — Service Worker активується без попередження користувача;
  • Mozilla Firefox та Apple Safari — не підтримують Fetch API, тому, ймовірно, не вразливі.
Джерело: itc.ua
#вразливість #кібербезпека. #Google #API #Chromium #Service Worker #JavaScript

Поділитись:

Facebook Telegram Viber Twitter/X

Читайте також