Google publica indevidamente código de exploit para vulnerabilidade ainda sem correção no Chromium, ameaçando milhões de usuários

A prova de conceito explora a interface Browser Fetch, usada para baixar arquivos grandes em segundo plano e pode ser usada para monitorar aspectos do uso do navegador, atuar como proxy para visualizar sites e lançar ataques de negação de serviço. A pesquisadora independente Lyra Rebane descobriu a falha e a reportou de forma privada ao Google no fim de 2022, sem correção após 29 meses. A PoC foi publicada ontem no rastreador de bugs do projeto de forma indevida e, embora o Google tenha removido a publicação, o material continua disponível em sites de arquivamento. Usuários de navegadores Chromium (Edge, Brave, Opera, Vivaldi e Arc) devem desconfiar de janelas de download que apareçam sem motivo. Firefox e Safari não são afetados porque não oferecem suporte ao recurso.