Сбой в процессе Chromium раскрыл детали неисправленной уязвимости

Детали ещё не закрытой уязвимости Chromium стали доступны из-за ошибки в процессе публикации и отслеживания исправлений.

2026-06-03 GIGATAP Team #security
#Chromium#Chrome#Browser Security

Что произошло#

Google, предположительно, случайно раскрыл подробности ещё не исправленной проблемы безопасности в Chromium после того, как баг был помечен как устранённый в системе отслеживания проекта.

По данным BleepingComputer, проблема связана с Service Workers и выполнением JavaScript в фоновом режиме. Исследователь безопасности Lyra Rebane сообщил об уязвимости в 2022 году. В декабре того же года Google подтвердила корректность отчёта.

Суть описанного поведения проста: вредоносный сайт может зарегистрировать Service Worker, например привязанный к задаче загрузки, который не завершает работу должным образом. По словам Rebane, это позволяет JavaScript продолжать выполняться на устройстве пользователя даже после закрытия браузера.

Именно этот момент имеет значение. Речь не о стандартной ситуации, когда код работает только пока открыта вкладка. В отчёте говорится о сохранении активности после завершения видимой сессии браузера.

BleepingComputer сообщает, что проблема затрагивает браузеры на базе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc. Это не означает одинаковое влияние на все продукты и версии, но переводит уязвимость в категорию рисков, затрагивающих значительную часть браузерного рынка благодаря общей кодовой базе Chromium.

Почему раскрытие деталей вызывает вопросы#

В Chromium сведения о проблемах безопасности могут оставаться закрытыми до тех пор, пока исправление не будет подготовлено и доставлено пользователям. В этом случае баг, судя по всему, получил статус исправленного раньше, чем рабочий патч дошёл до релизов.

Ключевая проблема связана с хронологией событий.

По информации BleepingComputer, 10 февраля 2026 года уязвимость была помечена как исправленная, а спустя несколько минут вновь открыта из-за ряда замечаний. Затем были обновлены метки, чтобы проблема могла пройти рассмотрение в рамках программы Chrome Vulnerability Rewards Program. 12 февраля баг снова получил статус исправленного, а Rebane получил автоматическое уведомление о выплате вознаграждения в размере 1000 долларов.

Однако исправление ещё не было выпущено.

20 мая ограничения доступа к записи в Chromium Issue Tracker были сняты, поскольку отчёт находился в закрытом состоянии более 14 недель и числился исправленным. После этого Rebane повторно протестировал проблему и обнаружил, что она по-прежнему воспроизводится в Chrome Dev 150 и Edge 148.

Позднее доступ снова ограничили, но информации успело стать достаточно для её распространения.

Фактически произошёл сбой процесса: механизмы раскрытия ориентировались на статус в трекере, а не на реальное наличие исправления у пользователей. Если система видит отметку «fixed», автоматизация может считать отчёт безопасным для публикации. Если уязвимый код всё ещё доступен, результатом становится непреднамеренное раскрытие деталей проблемы.

Что потенциально позволяет эта уязвимость#

Описанный сценарий выглядит серьёзным, но важно не выходить за пределы подтверждённых фактов.

Rebane описал вариант атаки, при котором посещение одного вредоносного сайта может подключить браузер на базе Chromium к устойчивой сети узлов под управлением JavaScript. В исходном отчёте он отметил, что злоумышленники способны получить большое количество посещений страниц, а пользователи не ожидают, что код продолжит выполняться удалённо после закрытия браузера.

В числе возможных сценариев злоупотребления названы:

  • распределённые DDoS-атаки с использованием заражённых браузеров;
  • проксирование вредоносного трафика через затронутые браузеры;
  • перенаправление трафика на целевые ресурсы;
  • поддержание скрытого канала связи по модели command-and-control внутри браузерного контекста.

BleepingComputer также приводит деталь, связанную с Microsoft Edge. По словам Rebane, в новых версиях Edge больше не отображается всплывающее окно загрузки, которое раньше появлялось при запуске эксплуатации, что делает активность менее заметной для пользователя.

При этом речь не идёт о полном захвате системы.

Rebane отдельно уточнил, что проблема не позволяет обойти границы безопасности браузера. У злоумышленников не появляется доступ к электронной почте жертвы, локальным файлам или операционной системе. Более точная модель угрозы выглядит так: «неожиданное устойчивое выполнение JavaScript после посещения одного сайта», а не «полная компрометация устройства».

Тем не менее риск остаётся значимым. Даже без доступа к файловой системе браузер имеет сетевые возможности, располагает доверием пользователя и способен генерировать трафик. В крупном масштабе даже ограниченная среда исполнения может стать полезным инструментом для злоупотреблений.

Чего не стоит утверждать#

На момент публикации нет публичного подтверждения того, что эта проблема уже используется в реальных атаках.

Также в материале отсутствует информация о версии, содержащей окончательное исправление. BleepingComputer сообщил, что обратился к Google за комментарием, однако ответа до выхода статьи не получил.

Факты, которые можно считать подтверждёнными:

  • был раскрыт отчёт об уязвимости Chromium с последствиями для безопасности;
  • ранее проблема получила статус исправленной в трекере;
  • исследователь позже подтвердил воспроизводимость поведения в упомянутых разработческих сборках браузеров;
  • после раскрытия детали снова сделали закрытыми;
  • проблема концептуально затрагивает семейство Chromium, хотя итоговое влияние зависит от браузера, версии и особенностей реализации.

Нельзя утверждать, что уже существует массовая эксплуатация, широко распространяемый рабочий эксплойт или экстренный патч, выпущенный для всех пользователей. Источник таких выводов не подтверждает.

Почему это касается обычных пользователей#

Большинство людей воспринимают браузер как окно: закрыли окно — остановили страницу и её код.

Этот случай ставит такое представление под сомнение.

Если посещение сайта способно оставить JavaScript активным после закрытия браузера, браузер начинает больше напоминать фоновый агент, чем временную пользовательскую сессию. При этом видимость происходящего снижается: пользователь может не видеть ни вкладку, ни окно, ни запрос на загрузку.

Практический риск усиливается тем, что Chromium — не отдельный продукт, а общая платформа. Chrome, Edge, Brave, Opera, Vivaldi, Arc и другие браузеры используют её в той или иной форме. Поэтому устранение подобных проблем зависит сразу от нескольких поставщиков и каналов обновления.

Что проверить#

  • Обновите браузер на базе Chromium сразу после выхода новых стабильных релизов.
  • Не полагайтесь только на автоматическое обновление. Откройте страницу сведений о браузере или раздел обновлений и запустите проверку вручную.
  • Если используете несколько браузеров на базе Chromium, проверьте каждый отдельно. Актуальная версия Chrome не означает актуальные версии Edge, Brave, Opera, Vivaldi или Arc.
  • Осторожно относитесь к неизвестным сайтам, которые инициируют загрузки или вызывают необычное поведение браузера. Это не гарантирует защиту, но снижает вероятность столкновения с массовыми злоупотреблениями.
  • В корпоративной среде отслеживайте экстренные обновления Chromium для всех установленных браузеров, а не только для Chrome.
  • Проведите аудит парка браузеров. Дополнительные продукты часто получают меньше внимания, чем браузер по умолчанию.
  • Мониторьте нетипичный исходящий трафик, связанный с браузером после его закрытия. Такой сигнал может давать ложные срабатывания, но соответствует описанной модели риска.

Главный вывод#

Сама уязвимость важна, но сбой процесса может оказаться ещё важнее.

Системы раскрытия информации о проблемах безопасности критически зависят от точности статусов. Метка «fixed» — не просто запись в интерфейсе. Она запускает процессы изменения доступа, выплаты вознаграждений, публикации информации и формирует ожидания у других поставщиков.

Согласно опубликованным данным BleepingComputer, статус в трекере и фактическая защита пользователей оказались рассинхронизированы. В результате сведения об уязвимости стали доступны до появления подтверждённого исправления.

Этот эпизод показывает риск автоматизированных цепочек выпуска обновлений: если автоматизация доверяет неправильному индикатору состояния, закрытая уязвимость может превратиться в публичную раньше времени.