Размер шрифта:
Уменьшить - Увеличить +
Фон страницы:
Обычный Белый Черный Голубой
Межбуквенный интервал:
Обычный Средний Большой
Изображения:
Включить Выключить
Отключить версию для слабовидящих close
Проект Координационного центра доменов .RU и .РФ
ru
en
Назад
Корпорация Google по ошибке раскрыла информацию о еще не исправленной уязвимости
#уязвимость
Корпорация Google по ошибке раскрыла информацию о еще не исправленной уязвимости

Корпорация Google, судя по всему, допустила серьезную ошибку, раскрыв информацию об уязвимости в браузере Chromium, которая так и не была исправлена. Речь идет об уязвимости встроенного в браузер интерфейса Browser Fetch. Он позволяет делать сетевые HTTP/HTTPS-запросы к серверу и получать необходимые данные без перезагрузки веб-страницы и в фоновом режиме. Функция весьма полезна, например, для загрузки видеофайлов большого объема.

Однако еще в декабре 2022 года независимая исследовательница Лайра Рибейн обнаружила, что из-за ошибки в коде JavaScript продолжает работать в фоновом режиме даже после закрытия браузера. Злоумышленники потенциально могли использовать эту проблему для создания вредоносной веб-страницы, например, с задачей загрузки, которая никогда не завершается. Рибейн заявила, что это может позволить атакующему использовать скомпрометированные браузеры для проведения атак на отказ в обслуживании (DDoS), произвольно перенаправлять трафик на целевые сайты и т.д. Уязвимость угрожала большинству браузеров на базе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc. Не затронутыми ею оказались Safari и Firefox, которые не поддерживают Browser Fetch.

Исследовательница уведомила корпорацию Google о проблеме, что было подтверждено в том же декабре 2022. Но спустя почти два года, в октябре 2024 ситуация не претерпела никаких изменений, на что обратили внимание сами разработчики Google, назвав уязвимость «серьезной». Затем же последовала цепочка странных событий. Еще почти полтора года ничего не менялось, а 10 февраля нынешнего года уязвимость была помечена как исправленная. Но спустя несколько минут этот статус был снят из-за сомнений в эффективности исправления.

12 февраля уязвимость вновь была помечена как исправленная, а Лайра Рибейн получила автоматическое уведомление о том, что ей выплачена премия за найденную уязвимость в сумме 1 тысячи долларов. В мае истек срок, отводимый Google разработчикам на внедрение исправлений, и 20 числа была раскрыта полная информация об уязвимости. После чего исследовательница решила проверить исправления. И была шокирована, обнаружив, что уязвимость остается в силе, а ее эксплуатация, благодаря публикации всех деталей, стала максимально простой. Вероятно, специалисты Google окончательно запутались в смене статусов и в итоге преподнесли хакерам настоящий подарок.

В данный момент описание уязвимости уже удалено из документов Google, но оно оставалось открытым достаточно долго, и информация наверняка успела получить широкое распространение.  Корпорация Google пока не прокомментировала ситуацию.