谷歌周三发布了一个尚未修复的 Chromium 浏览器漏洞利用代码,这直接威胁到全球数百万 Chrome、Microsoft Edge 以及几乎所有基于 Chromium 内核的浏览器用户。该漏洞已潜伏超过 29 个月,目前仍处于未修复状态。
该 PoC(概念验证)代码利用了浏览器 Fetch 编程接口。Fetch 是一个标准 API,允许浏览器在后台下载大型视频或其他文件。攻击者可以利用此漏洞创建一个连接,用于监控用户部分浏览行为,并将其作为查看网站和发起拒绝服务(DDoS)攻击的代理。令人担忧的是,根据浏览器的不同,这些连接在浏览器关闭甚至设备重启后,仍会保持开启或自动重新开启。
独立研究员 Lyra Rebane 于 2022 年底发现了该漏洞并向谷歌报告。她指出,任何用户访问的网站都可以触发该漏洞。实际上,这种劫持相当于一个受限的后门,使受害者设备成为僵尸网络的一部分。虽然其权限受限于浏览器能力(如访问恶意站点、提供匿名代理浏览、发起代理 DDoS 攻击和监控活动),但攻击者可以借此将成千上万、甚至数百万台设备串联成网络。一旦有新的系统级漏洞出现,攻击者便可进一步完全控制这些设备。
Rebane 在采访中表示,该漏洞的危险之处在于它能预先构建一个庞大的潜在受害群体,待未来发现新手段时再行发力。在谷歌内部的披露记录中,两名开发者曾明确表示这是一个“严重漏洞”,其严重程度被评为 S1 级,是仅次于最高级别的安全分类。
尽管该漏洞已报告 29 个月,但在周三之前仅为 Chromium 开发者知晓。然而,随着代码被错误地发布到 Chromium 漏洞追踪器上,虽然谷歌随后删除了帖子,但相关利用代码已被存档网站抓取并公开。目前,广大用户仍暴露在这一已知且有公开利用代码的风险之下。
