## Виявлення та приховування вразливості Нещодавно компанія Google опублікувала, а згодом швидко видалила інформацію, що стосується серйозної вразливості в Chromium, яка існувала протягом тривалого часу. Ця проблема була вперше виявлена у 2022 році, але досі залишалася невиправленою. Дослідниця Ліра Ребане, яка першою ідентифікувала цю помилку, повідомила, що Google приховала звіт про вразливість, не провівши належної оцінки її впливу на безпеку веббраузера. ## Деталі вразливості та її потенційні наслідки Вразливість пов’язана з API фонового завантаження Chromium. Вона дозволяє Service Worker, спеціалізованим компонентам JavaScript, що працюють як посередники між браузером та сервером, продовжувати виконання навіть після закриття браузера або перезавантаження пристрою. Service Worker зазвичай використовуються для підвищення надійності, забезпечення автономної роботи та прискорення завантаження вебсторінок. Однак, у даному випадку, ця функціональність може бути використана зі зловмисною метою. Service Worker, що залишається активним, потенційно може:
- Здійснювати відстеження активності користувачів в мережі шляхом збору даних, таких як IP-адреси та інша телеметрія.
- Запускати віддалено розміщені шкідливі програми.
- Використовуватися в атаках типу “відмова в обслуговуванні” (DDoS).
- Бути частиною розподіленої мережі ботів (ботнету).
За словами Ребане, випадково розкритий Google код робить експлуатацію цієї вразливості відносно простою. Хоча для створення повноцінного ботнету все ще потрібні значні технічні знання та зусилля, потенціал для зловживань є очевидним. Після звіту Ребане пройшло чотири роки, перш ніж інформація про цю помилку була випадково оприлюднена.
Вердикт ІТ-Блогу: Це оновлення є критично важливим для всіх користувачів веббраузерів на базі Chromium, оскільки воно усуває давню та потенційно небезпечну вразливість.
За даними порталу: itc.ua