BleepingComputer 报道称，谷歌无意中泄露了 Chromium 中一个未修复漏洞的细节，该漏洞会导致 JavaScript 在浏览器关闭后仍在后台运行，从而允许在设备上执行远程代码。

该漏洞由安全研究员 Lyra Rebane 报告，并于 2022 年 12 月被确认为有效。攻击者可利用该漏洞创建包含永不终止的 Service Worker（例如下载任务）的恶意网页。

Rebane 表示，这可能使攻击者在访问者的设备上执行 JavaScript 代码。“通过创建‘僵尸网络’获得数万次页面浏览量是完全可能的，而用户根本不会意识到自己的设备上正在被远程执行 JavaScript 代码。”

潜在的利用场景包括：利用受感染的浏览器发起分布式拒绝服务（DDoS）攻击、代理恶意流量，以及将流量任意重定向至目标网站。该问题会影响所有基于 Chromium 的浏览器，包括 Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi 和 Arc。

2024 年 10 月 26 日，一位谷歌开发者注意到该问题仍处于未解决状态，并将其描述为一个“严重漏洞”，需要更新状态“以确保取得进展”。今年2月10日，该问题被标记为已解决，但仅几分钟后因存在若干疑虑而重新开启。

尽管尚未发布补丁，但该问题于 2 月 12 日被标记为已修复，。一封自动发送的电子邮件通知 Rebane，她已经获得了 1000 美元的漏洞赏金。

因为该 bug 已关闭超过 14 周，并在系统中标记为已修复。截至 5 月 20 日，Chromium 问题跟踪器上的所有访问限制均已解除。然而 Rebane 在同一天测试了该修复程序却发现，相关问题在 Chrome Dev 150 和 Edge 148 中依然存在。

“我刚刚意识到这个问题实际上并没有得到彻底修复，它仍然可以运行。更糟糕的是，Edge 浏览器甚至不再弹出下载菜单，所以这是一个完全静默的 JS 远程代码执行攻击，即使关闭浏览器后也会继续运行！！而这一切仅仅是因为你访问了一个网站！！”

Rebane 告诉 Ars Technica，谷歌的泄露将使利用变得“相当容易”，不过将其扩展成大型僵尸网络则更为复杂。不过她也指出，该漏洞不会绕过浏览器安全边界，也不会让攻击者访问受害者的电子邮件、文件或主机操作系统。