Groźna luka w Chrome i Chromium. Wystarczy wejść na stronę

W przeglądarkach opartych na Chromium odkryto poważną lukę bezpieczeństwa, która według badaczy może pozwolić cyberprzestępcom wykorzystywać komputery i smartfony użytkowników jako elementy botnetu. Problem dotyczy Google Chrome oraz wielu innych popularnych przeglądarek korzystających z tego samego silnika. Co ciekawe, podatność została zgłoszona już kilka lat temu i mimo wysokiego priorytetu nadal nie doczekała się pełnej poprawki.

Cała sprawa dotyczy mechanizmu Browser Fetch. Jest to standard odpowiadający za pobieranie plików w tle bez konieczności pozostawiania otwartej karty przeglądarki. Funkcja została stworzona z myślą o wygodzie użytkowników, ale według specjalistów może zostać wykorzystana również do tworzenia połączeń pozwalających włączyć urządzenie użytkownika do większej sieci botnetowej.

Luka w Google Chrome może zamienić sprzęt w botnet

Botnety są wykorzystywane do przeprowadzania ataków DDoS, rozsyłania spamu czy innych działań związanych z cyberprzestępczością. Badacze ostrzegają również, iż podatność może potencjalnie umożliwiać dostęp do części danych związanych z aktywnością przeglądarki i historią odwiedzanych stron.

W przeglądarkach opartych na Chromium odkryto poważną lukę bezpieczeństwa, która według badaczy może pozwolić cyberprzestępcom wykorzystywać komputery i smartfony użytkowników jako elementy botnetu.

Luka została odkryta pod koniec 2022 roku przez badaczkę bezpieczeństwa Lyrę Rebane. Według dostępnych informacji Google miało sklasyfikować problem jako podatność wysokiego poziomu oznaczoną wewnętrznie kategorią S1, czyli drugą najwyższą klasą zagrożenia stosowaną przez firmę. Mimo tego po około 29 miesiącach luka nadal nie została oficjalnie załatana.

Dość poważny problem, który nie doczekał się rozwiązania

W porównaniu z klasycznymi lukami bezpieczeństwa wymagającymi instalowania złośliwego oprogramowania ta wygląda szczególnie groźnie, ponieważ według badaczy wystarczy samo otwarcie odpowiednio przygotowanej strony internetowej.

Dodatkowe obawy budzi fakt, iż w sieci dostępny jest już publiczny kod demonstracyjny pokazujący działanie podatności. Oznacza to, że osoby posiadające podstawową wiedzę z zakresu bezpieczeństwa mogą próbować wykorzystywać lukę do własnych celów. Według doniesień użytkownik nie musi nawet instalować aplikacji, akceptować uprawnień czy pobierać pliku, by potencjalnie narazić urządzenie na ryzyko.

Google na razie nie podało konkretnego terminu publikacji poprawki. Sama natura problemu dodatkowo utrudnia jego wykrycie przez zwykłych użytkowników. W niektórych przypadkach może pojawić się jedynie krótki komunikat związany z pobieraniem plików, ale bez faktycznego zapisania czegokolwiek na urządzeniu.