近日,一项影响Google Chrome、Microsoft Edge以及其他所有基于Chromium内核浏览器的高危安全漏洞被公开。独立安全研究员Lyra Rebane发现,攻击者无需诱导用户安装恶意软件,也无需用户点击可疑弹窗或授予任何权限,仅通过让用户访问一个恶意网页,即可在后台将用户浏览器转变为远程攻击的跳板。
漏洞机制与潜在危害
该漏洞的根源在于Chromium对“Browser Fetch”标准的实现。Browser Fetch是一项Web标准,其设计初衷是允许浏览器在标签页关闭后继续在后台下载大文件或视频,以提升用户体验。但根据Rebane的发现,攻击者可以滥用这一系统,在用户不察觉的情况下,在浏览器与远程服务器之间建立持久化的后台连接。在某些Chromium浏览器上,即使关闭标签页、甚至重启浏览器或计算机,该连接仍可能继续存在。
根据Rebane的描述,攻击者可以构造一个看似完全无害的网页——例如一个食谱页面、Reddit链接或随机搜索结果——在用户打开后,后台即开始建立与远程服务器的持久连接。该连接可在标签页关闭后继续运行,甚至在某些情况下浏览器或计算机重启后仍不消失。
这种攻击方式具有极高的隐蔽性。与传统的恶意软件不同,一切活动都发生在浏览器进程内部,不表现出常见感染迹象。普通用户几乎无法察觉到任何异常。被利用的浏览器可以成为攻击者网络基础设施的一部分,用于充当匿名代理、转发恶意流量、参与分布式拒绝服务(DDoS)攻击,甚至暴露用户浏览活动的部分细节。
披露与修复进展
Lyra Rebane于2022年底通过私人渠道向Google报告了该漏洞。Google工程师当时将其评定为“严重漏洞”,内部严重等级划为S1(第二高等级)。然而据Rebane称,该漏洞在Chromium的Bug追踪系统中停留了约29个月,至今未向用户推送修复补丁。目前,针对该漏洞的概念验证(PoC)利用代码已经公开发布,这意味着攻击者可以更容易地实现利用。
在官方修复推出之前,该漏洞将持续影响所有基于Chromium内核的浏览器用户。这一事件表明,即使不安装任何可疑软件,仅仅通过浏览器访问网页也可能面临被僵尸网络化的风险。
本文参考来源:Android Authority
微信扫描下方的二维码阅读本文
