Auf den Punkt: Google hat Details über eine ungepatched Chromium-Sicherheitslücke offenbart, die Angreifern ermöglicht, persistent JavaScript-Code auf Geräten auszuführen. Die Anfälligkeit betrifft Chrome, Edge, Brave und andere Chromium-basierte Browser und wurde fälschlicherweise als „behoben" markiert, obwohl sie noch aktiv ist.
Eine ernsthafte Sicherheitslücke in Chromium ermöglicht es Angreifern, JavaScript-Code im Hintergrund auszuführen, selbst wenn der Browser geschlossen ist. Google hat die Anfälligkeit versehentlich offengelegt, obwohl sie noch nicht behoben wurde – eine Entdeckung der Sicherheitsforscherin Lyra Rebane könnte Millionen von Nutzern gefährden.
Eine schwerwiegende Sicherheitslücke in Chromium wurde von Google versehentlich offengelegt. Die Anfälligkeit, die von Sicherheitsforscherin Lyra Rebane im Jahr 2022 entdeckt wurde, ermöglicht es Angreifern, JavaScript-Code auf Besuchergeräten remote auszuführen – sogar wenn der Browser geschlossen ist. Dies geschieht durch bösartige Service Worker, etwa gefälschte Download-Aufgaben, die niemals beendet werden.
Das Szenario ist beunruhigend: Ein Angreifer könnte mit einer einzigen Website Zehntausende von Browsern in ein JavaScript-Botnet verwandeln, ohne dass die Nutzer es bemerken. Mögliche Anwendungsszenarien umfassen verteilte Denial-of-Service-Angriffe (DDoS), das Weiterleiten von Schadcode und die Umleitung von Internetverkehr.
Die Lücke betrifft alle Chromium-basierten Browser – einschließlich Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi und Arc. Besonders beängstigend ist, dass in Edge keine Download-Benachrichtigungen mehr erscheinen, was den Exploit völlig unsichtbar macht.
Trotz Anerkennung der Anfälligkeit als „kritisches Problem“ im Oktober 2024 kennzeichnete Google sie im Februar als „behoben“ – ohne tatsächlich einen Patch bereitzustellen. Die Plattform des Chrome Vulnerability Rewards Program (VRP) entfernte die Zugriffsbeschränkungen nach 14 Wochen, worauf Rebane sofort bemerkte, dass der Fehler immer noch vorhanden war. Die versehentliche Offenlegung der Details macht eine Ausnutzung nun deutlich einfacher. Allerdings weist Rebane darauf hin, dass die Lücke keine Browser-Sicherheitsgrenzen umgeht und Angreifern keinen Zugriff auf E-Mails, Dateien oder das Betriebssystem gewähren.