A Google revelou acidentalmente detalhes de uma falha de segurança ainda não corrigida no Chromium, o motor que serve de base ao Google Chrome e vários outros browsers populares. A vulnerabilidade permite que código JavaScript continue a ser executado em segundo plano mesmo depois de o browser ser encerrado, criando um potencial risco de execução remota de código e utilização indevida do dispositivo.
O problema foi inicialmente descoberto em 2022 pela investigadora de segurança Lyra Rebane - que ficou surpresa ao verificar que a falha ainda persistia passados estes anos. A falha pode ser explorada através de páginas maliciosas que utilizem Service Workers concebidos para permanecer activos indefinidamente. Na prática, um atacante poderia manter código JavaScript a correr silenciosamente no computador da vítima após uma simples visita a um site comprometido. Entre os cenários possíveis estão ataques DDoS, reencaminhamento de tráfego malicioso, e utilização dos dispositivos afectados como parte de botnets.
A falha não permite aceder directamente a ficheiros pessoais, emails, ou ao sistema operativo da vítima, mas continua a representar um risco relevante devido ao potencial de abuso em larga escala. Bem, pelo menos não deixa de ser uma forma eficiente de obrigar a Google a - finalmente - resolver esta falha com a máxima prioridade. Por norma, aquilo que poderia levar meses (ou anos) a corrigir, acaba por ser corrigido em poucos dias (ou horas) quando o problema se torna público.
Sem comentários:
Enviar um comentário (problemas a comentar?)