El miércoles, Google publicó código de prueba de concepto para una vulnerabilidad en su navegador Chromium que ha permanecido sin corregir durante 29 meses. El fallo afecta a Chrome, Microsoft Edge y otros navegadores basados en Chromium utilizados por millones de personas en todo el mundo. Permite a los atacantes establecer conexiones persistentes para monitorear la actividad del usuario y lanzar ataques.
El exploit se dirige a la interfaz de programación Browser Fetch, la cual gestiona las descargas en segundo plano de archivos grandes. Una vez activado, crea un service worker capaz de restablecer conexiones incluso después de reiniciar el navegador o el dispositivo. Esta configuración permite que un dispositivo comprometido se una a una red de bots limitada para redirigir tráfico o permitir ataques de denegación de servicio sin necesidad de obtener un acceso más profundo al sistema.
