Google heeft per ongeluk exploitcode gepubliceerd voor een kwetsbaarheid in Chromium. Google heeft die kwetsbaarheid nog steeds niet opgelost. De fout treft miljoenen gebruikers van Chrome, Microsoft Edge en andere Chromium-browsers. Het probleem zit in de Browser Fetch API, een standaard voor het downloaden van grote bestanden op de achtergrond. Een aanvaller kan via JavaScript een verbinding openen in de browser. Die verbinding blijft actief, zelfs na het herstarten van de browser of het apparaat.
Elke website die een gebruiker bezoekt, kan de aanval uitvoeren. De aanvaller kan het browsergebruik van de gebruiker monitoren. Ook kan hij het apparaat inzetten als proxy voor anoniem browsen of DDoS-aanvallen. In feite maakt de aanvaller het apparaat onderdeel van een beperkt botnet. De mogelijkheden zijn beperkt tot wat een browser kan doen, maar dat is gevaarlijk genoeg. Als een aanvaller later een extra kwetsbaarheid vindt, kan hij alle gekoppelde apparaten overnemen. De kwetsbaarheid heeft een S1-classificatie, de op één na hoogste ernstscore bij Google.
De onafhankelijke onderzoeker Lyra Rebane ontdekte de kwetsbaarheid eind 2022. Hij meldde dit privé aan Google. Twee Chromium-ontwikkelaars noemden het destijds een ‘ernstige kwetsbaarheid’. Bijna 29 maanden lang bleef het probleem onbekend voor het grote publiek. Afgelopen woensdag verscheen de exploitcode plotseling op de publieke Chromium bug tracker. Rebane dacht aanvankelijk dat Google de kwetsbaarheid eindelijk had opgelost. Dat bleek niet zo te zijn. Google verwijderde de post snel, maar archiefwebsites bewaren de exploitcode nog steeds. Een officiële fix is er nog niet. Google heeft ook nog niet gereageerd op vragen over wanneer dat verandert.
