谷歌發布威脅數百萬 Chromium 用戶的漏洞程式碼

谷歌週三發布了利用其 Chromium 瀏覽器資料庫中未修補的漏洞的程式碼，該漏洞威脅著數百萬使用 Chrome、Microsoft Edge 和幾乎所有其他基於 Chromium 的瀏覽器的用戶。

概念驗證程式碼利用了瀏覽器獲取 API，該標準允許在後台下載長影片和其他大檔案。攻擊者可以利用此漏洞建立連線來監視使用者瀏覽器使用的某些方面，並作為代理來查看網站並發動拒絕服務攻擊。根據瀏覽器的不同，即使您重新啟動瀏覽器或重新啟動執行該瀏覽器的裝置後，連線也會重新開啟或保持開啟狀態。

不穩定 29 個月（還在繼續）

用戶造訪的任何網站都可以利用未修補的漏洞。實際上，妥協是一個有限的後門，使設備成為有限的殭屍網路的一部分。這些功能僅限於瀏覽器可以執行的相同操作，例如訪問惡意網站、提供其他人的匿名代理瀏覽、透過代理啟用 DDoS 攻擊以及監視使用者活動。然而，此漏洞可能允許攻擊者將數千甚至數百萬台設備注入網路。一旦出現單獨的漏洞，攻擊者就可以利用它來危害所有這些設備。

發現該漏洞並於 2022 年底私下向谷歌報告的獨立研究員萊拉·裡班 (Lyra Riban) 在接受采訪時表示：“這裡危險的部分是，你可以同時使用許多不同的瀏覽器，並且將來你可以運行你發現的東西。”它表示，使用谷歌過早發布的漏洞代碼將“非常容易”，儘管你可以運行你發現的東西。在 Rebane 向 Google 披露的系列中，兩名開發人員在單獨的回覆中表示，這是一個「嚴重漏洞」。其嚴重程度被評為 S1，第二高等級。

自 29 個月前報告以來，除了 Chromium 開發人員之外，該漏洞一直不為人知。然後在周三早上，它被發佈到 Chromium 錯誤追蹤器上。雷巴尼最初認為該漏洞最終已被修復。此後不久，我得知它實際上仍未修復。雖然谷歌已經刪除了這篇文章，但它和漏洞代碼仍然可以在存檔網站上找到。