Google liet exploitcode uitlekken voor 3,5 jaar oud gat in Chromium-browsers

In dit artikel:

Google publiceerde tijdelijk proof‑of‑concept­‑exploitcode voor een nog onopgeloste kwetsbaarheid in Chromium, waarna de code weliswaar verwijderd werd maar al was gekopieerd. De fout, eind 2022 gemeld door beveiligingsonderzoeker Lyra Rebane, treft alle browsers die op de open Chromium‑code draaien: onder meer Chrome, Microsoft Edge, Opera, Brave, Vivaldi en de nieuwe Samsung Browser voor Windows.

De exploit misbruikt de Browser Fetch‑functie, bedoeld voor achtergronddownloads van grote bestanden, en maakt het mogelijk dat kwaadaardige websites een verbinding met de browser opzetten. Daardoor kan surfgedrag deels worden afgelezen en kan de browser als proxy worden ingezet, bijvoorbeeld voor ddos‑activiteiten. Bij sommige browsers blijft die verbinding zelfs na een herstart bestaan, waardoor het op langere termijn als een beperkte backdoor kan fungeren.

Er is nog geen bekende patch; gebruikers en beheerders wordt aangeraden alert te blijven op updates en voorzichtig om te gaan met onbetrouwbare sites.