导读：谷歌意外泄露了 Chromium 浏览器中一处未修复漏洞的完整技术细节。该漏洞可导致浏览器关闭后，恶意脚本仍在后台持续运行，进而允许攻击者在用户设备上执行远程代码，危及全球数百万用户的信息安全。

谷歌“不小心”泄露了 Chromium 中一个未修复漏洞的细节，此漏洞会导致 JavaScript 即使浏览器被关闭后也会在后台运行，这样就能允许在设备上执行远程代码。

该漏洞由安全研究员莱拉・雷班（Lyra Rebane）报告，并在 2022 年 12 月被确认为有效，用户可以参见 Chromium Issue Tracker 上的讨论帖。

攻击者可以利用此漏洞创建一个包含 Service Worker 的恶意网页，例如一个永远不会终止的下载任务。Rebane 表示，这可能使攻击者能够在访问者的电脑/设备上执行 JavaScript 代码。

潜在的攻击场景包括使用被入侵的浏览器发起分布式拒绝服务 (DDoS) 攻击、代理恶意流量以及任意将流量重定向到目标网站。

可以确定的是，该漏洞会影响所有基于 Chromium 内核的浏览器，包括 Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi 和 Arc。

持续存在的漏洞

2024 年 10 月 26 日，一位谷歌开发人员注意到该问题仍然存在，并将其描述为“严重的漏洞”，需要进行状态更新“以确保取得进展”。

今年2月10日，该问题被标记为已经解决，但几分钟后由于一些问题再次被重新开启。

由于这是一个安全问题，该漏洞的标签已更新，以便通过 Chrome 漏洞奖励计划 (VRP) 小组，该问题于 2 月 12 日被标记为已修复，尽管尚未发布补丁。

一封自动发送的电子邮件通知莱拉・雷班，她获得了 1000 美元的漏洞赏金。

5 月 20 日，Chromium 问题跟踪器上的所有访问限制均已解除，因为该错误已关闭超过 14 周，并在系统中标记为已修复。

同一天，莱拉・雷班测试了该修复程序，发现 Chrome Dev 150 和 Edge 148 等浏览器中仍然存在该问题。

“早在 2022 年，我发现了一个漏洞，无需用户交互，就能将任何基于 Chromium 的浏览器变成永久的 JS 僵尸网络成员，”这位研究人员昨天在一篇帖子中写道。

“在 Edge 浏览器中，你甚至不会注意到任何异常，即使关闭浏览器后，也会保持与 C2 的连接。”

更糟糕的是，之前触发漏洞时出现的下载弹窗在最新的 Edge 浏览器中不再出现，这使得漏洞利用更加隐蔽。

“哦不，我刚刚意识到这个问题实际上并没有得到彻底修复，它仍然可以运行，” 莱拉・雷班在 Mastodon 上发帖说。

“更糟糕的是，Edge浏览器甚至不再弹出下载菜单，所以这是一个完全静默的JS远程代码执行攻击，即使关闭浏览器后也会继续运行！！而这一切仅仅是因为你访问了一个网站！！”

虽然此事后来被重新设为私密事件，但曝光的时间足够长，信息还是泄露了出去。

她还澄清说，该漏洞不会绕过浏览器安全边界，也不会让攻击者访问受害者的电子邮件、文件或主机操作系统。

鉴于问题详情已被泄露，大量用户面临重大风险，谷歌很可能会将此视为紧急情况，并将加速发布紧急修复程序。

作者：场长

参考：

https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/