Google 意外公开了未修复 Chromium 漏洞的利用代码
https://www.solidot.org/story?sid=84359
https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/ (英文)
Google 周三公开了一个未修复 Chromium 漏洞的利用代码。该漏洞影响所有使用基于 Chromium 浏览器的用户。独立安全研究员 Lyra Rebane 在 2022 年底向 Google 报告了漏洞,但 29 个月后它仍然没有修复。本周三上午 Google 向 Chromium 的 bug 跟踪系统披露了漏洞,Rebane 一开始以为漏洞已经修复了,结果发现根本没有。Google 虽然之后删除了帖子,但其内容已被其它网站存档。该漏洞滥用了 Chromium 的 Browser Fetch API 打开一个持续活动的 Service Worker,恶意网站可通过 JavaScript 触发该 Service Worker 创建连接,监视用户的部分活动,它还可作为代理访问网站和发起 DDoS 攻击。安全研究人员认为这是一个严重的漏洞,它实际上相当于一个受限的后门,将浏览器变成僵尸网络的一部分。 (全文完)
https://www.solidot.org/story?sid=84359
https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/ (英文)
Google 周三公开了一个未修复 Chromium 漏洞的利用代码。该漏洞影响所有使用基于 Chromium 浏览器的用户。独立安全研究员 Lyra Rebane 在 2022 年底向 Google 报告了漏洞,但 29 个月后它仍然没有修复。本周三上午 Google 向 Chromium 的 bug 跟踪系统披露了漏洞,Rebane 一开始以为漏洞已经修复了,结果发现根本没有。Google 虽然之后删除了帖子,但其内容已被其它网站存档。该漏洞滥用了 Chromium 的 Browser Fetch API 打开一个持续活动的 Service Worker,恶意网站可通过 JavaScript 触发该 Service Worker 创建连接,监视用户的部分活动,它还可作为代理访问网站和发起 DDoS 攻击。安全研究人员认为这是一个严重的漏洞,它实际上相当于一个受限的后门,将浏览器变成僵尸网络的一部分。 (全文完)
