Google se află în centrul unei situații de vulnerabilitate de securitate, după ce informații despre o problemă nesoluționată din Chromium au fost făcute publice accidental. Incidentele cresc riscul expunerii utilizatorilor și afectează mai multe browsere bazate pe acest motor, precum Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi și Arc.

Detalii despre vulnerabilitate și modul de funcționare

Problema a fost raportată în decembrie 2022 de cercetătoarea în securitate Lyra Rebane și s-a dovedit a fi validă în sistemul Chromium Issue Tracker. Vulnerabilitatea permite JavaScript să continue rularea în fundal, chiar după închiderea browserului, dacă site-ul malițios a reușit să activeze un Service Worker abuziv.

Exploatarea se bazează pe mecanismul legitimat al Service Worker-ilor, folosit pentru notificări, sincronizări sau descărcări în fundal. În cazul descris de cercetătoare, un site compromis putea iniția o sarcină care să nu se oprească, menținând JavaScript activ după închiderea browserului. În versiuni recente ale Microsoft Edge, chiar și ferestrele de descărcare nu mai reprezintă un indiciu pentru utilizator.

Riscuri și impact potențial asupra utilizatorilor

Vulnerabilitatea nu permite acces direct la e-mailuri, fișiere personale sau sistemul de operare al victimei. Cu toate acestea, poate fi utilizată pentru atacuri DDoS, redirecționări către site-uri malițioase sau funcționare ca proxy pentru trafic riscant.

Aceste riscuri pot fi exploatate pentru utilizarea browserelor compromise în atacuri cibernetice, însă nu se pot realiza accesări directe ale datelor sensibile ale utilizatorului.

Modalitatea în care informațiile au devenit publice și consecințele expunerii

Vulnerabilitatea a fost considerată rezolvată în februarie 2026. Pentru meritele sale, cercetătoarea a primit o recompensă de 1.000 de dolari prin programul Google Vulnerability Rewards. Totuși, pe 20 mai, după eliminarea automată a restricțiilor legate de statusul de rezolvat, informațiile despre problema au revenit în vizibilitate.

În aceeași zi, Lyra Rebane a verificat dacă remediul recomandat era eficient și a descoperit că vulnerabilitatea putea fi încă exploatată în versiunile Chrome Dev 150 și Edge 148. După această constatare, issue-ul a fost făcut privat, însă timpul în care detaliile au fost accesibile a permis circulația informațiilor.

Potrivit publicației Ars Technica, expunerea accidentală poate facilita exploitarea problemei, chiar dacă din cauza complexității, transformarea într-un botnet de amploare devine mai dificilă. În contextul actual, riscul pentru utilizatori rămâne dat de posibilitatea ca atacatorii să profite de această vulnerabilitate pentru acțiuni malițioase.

Recomandări pentru utilizatori și pași viitori

În momentul de față, singurul comportament sigur pentru utilizatori este actualizarea rapidă a browserului odată ce este disponibilă o versiune nouă. Este esențială evitarea vizitării site-urilor necunoscute și închiderea completă a proceselor suspecte dacă apar consumuri anormale de resurse.

Pentru producători, presiunea de a publica un patch rapid pentru această vulnerabilitate este semnificativă. Impactul afectează întregul ecosistem Chromium, ceea ce înseamnă că fiecare browser bazat pe această tehnologie trebuie să primească o actualizare adecvată pentru a remedia problema.

Până la apariția unui fix concret, utilizatorii trebuie să fie atenți la comportamentul browserului și să aplice toate actualizările de securitate disponibile pentru a reduce riscul de exploitare.