Google傳出不慎洩露Chrome尚未修補的資安漏洞

此概念驗證程式碼濫用了瀏覽器Fetch API，其用途是讓瀏覽器能在背景下載影片和其他大型檔案。攻擊者可以利用此漏洞建立連線，監控瀏覽器的使用情況，甚至將受害電腦作為代理伺服器，藉此存取網站和發動拒絕服務攻擊。

值得留意的是，根據資安新聞網站Bleeping Computer、科技新聞網站Ars Technica報導，上述揭露的漏洞，實際上，是資安研究員Lyra Rebane在4年前通報的漏洞，並於2022年12月獲得Chromium開發團隊確認。當時Rebane指出該漏洞相當危險，攻擊者很有可能藉此劫持用戶的瀏覽器，並建立殭屍網路，藉此替特定網站製造大量瀏覽次數，而且使用者完全不會發現有人遠端利用自己的電腦執行JavaScript。除此之外，攻擊者還能利用這些瀏覽器發動DDoS攻擊、代理惡意流量，或是將流量重新導向到特定網站。

然而當漏洞被公開之後，Rebane原本以為已經得到修補，但經測試後發現該問題並未完全修補，迄今仍然可被利用，而且在新版Edge觸發漏洞後，瀏覽器不再顯示下載選單，若是遭到利用，使用者將難以察覺。雖然後續Google已停止公開存取相關資料，不過傳出已遭到備份。對此，Ars Technica取得Google發出的聲明，該公司表示，已得知程式碼公開的情形並著手修復。