Google publiceerde exploitcode voor 2,5 jaar bestaand gat in Chromium-browsers

In dit artikel:

Google publiceerde per abuis proof‑of‑concept‑exploitcode voor een al lange tijd bekende kwetsbaarheid in Chromium‑browsers; de fout was 29 maanden geleden door beveiligingsonderzoeker Lyra Rebane gemeld (eind 2022). De kwetsbaarheid treft browsers die op de open Chromium‑engine draaien, zoals Chrome, Microsoft Edge, Opera, Brave, Vivaldi en de nieuwe Samsung Browser voor Windows.

De exploit maakt via de Browser Fetch‑interface — bedoeld om grote bestanden op de achtergrond te downloaden — een verbinding tussen een kwaadaardige website en de browser mogelijk. Daardoor kan een aanvaller onder meer (gedeeltelijk) surfgedrag volgen en de browser als proxy gebruiken, bijvoorbeeld voor ddos‑aanvallen. Afhankelijk van de browser blijft die verbinding soms zelfs na een herstart actief, waardoor de zwakke plek in de praktijk op sommige systemen als een beperkte backdoor fungeert.

Google haalde de gepubliceerde code weer offline, maar er zijn kopieën in omloop. Rebane waarschuwt dat misbruik relatief eenvoudig is; een patch is nog niet aangekondigd. Gebruikers doen er verstandig aan updates nauwlettend in de gaten te houden en patches direct te installeren zodra die beschikbaar zijn.