Chromium漏洞泄露从发现到“修复”的漫长历程2022年12月安全研究员Lyra Rebane报告了Chromium中一个未修复的漏洞该漏洞会导致JavaScript在浏览器关闭后仍在后台运行允许在设备上执行远程代码此问题随后被确认为有效。2024年10月26日一位谷歌开发者注意到问题仍未解决称其为“严重漏洞”。今年2月10日问题被标记为已解决但几分钟后因疑虑重新开启。尽管未发布补丁2月12日该问题被标记为已修复Rebane获得1000美元漏洞赏金。截至5月20日Chromium问题跟踪器访问限制解除但Rebane测试发现Chrome Dev 150和Edge 148中问题依然存在。漏洞攻击手法恶意网页与远程代码执行攻击者可利用该漏洞创建包含永不终止的Service Worker例如下载任务的恶意网页。安全研究员Rebane表示这可能使攻击者在访问者的设备上执行JavaScript代码“通过创建‘僵尸网络’获得数万次页面浏览量是完全可能的而用户根本不会意识到自己的设备上正在被远程执行JavaScript代码”。潜在的利用场景包括利用受感染的浏览器发起分布式拒绝服务DDoS攻击、代理恶意流量以及将流量任意重定向至目标网站。受影响范围基于Chromium的浏览器无一幸免该问题会影响所有基于Chromium的浏览器包括Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi和Arc。这意味着大量用户的设备都面临着潜在的安全风险。谷歌失误与行业警示安全修复刻不容缓谷歌无意中泄露未修复漏洞细节且在问题未真正解决的情况下标记为已修复这暴露出企业在安全管理上的疏漏。这种做法不仅可能导致用户面临安全威胁也损害了谷歌的信誉。对于整个行业来说此次事件是一个警示。企业需要加强安全漏洞的管理确保修复工作的有效性及时发布补丁。同时要建立更完善的安全监测和预警机制防止类似事件再次发生。编辑观点谷歌此次漏洞处理失误敲响了行业安全警钟。企业应重视安全漏洞修复保障用户权益否则将面临信任危机和潜在的安全灾难。