Google liet exploitcode uitlekken voor 2,5 jaar oud gat in Chromium-browsers

In dit artikel:

Google publiceerde per abuis proof‑of‑concept‑exploitcode voor een nog onverholpen kwetsbaarheid in Chromium‑browsers; de code is inmiddels offline gehaald maar al gekopieerd. De fout, oorspronkelijk eind 2022 door beveiligingsonderzoeker Lyra Rebane bij Google gemeld (ongeveer 29 maanden geleden), treft browsers die op de open Chromium‑code draaien: onder meer Chrome, Microsoft Edge, Opera, Brave, Vivaldi en de nieuwe Samsung Browser voor Windows.

De bug zit in de Browser Fetch‑interface, bedoeld voor achtergronddownloads van grote bestanden, en maakt het mogelijk dat kwaadwillende websites een verbinding met de browser opzetten. Daardoor kunnen aanvallers onder meer (gedeeltelijk) surfgedrag volgen en de browser als proxy misbruiken, bijvoorbeeld voor DDoS‑verkeer. Bij sommige browsers blijft die verbinding zelfs na een systeemherstart actief, wat de zwakte meer op een beperkte backdoor doet lijken. Rebane waarschuwt dat de kwetsbaarheid relatief eenvoudig te misbruiken is; een tijdspad voor een patch is nog niet bekend.