Hack Alerta

Google libera código de exploração para falha crítica no Chromium sem correção

Por Redação Hack Alerta Publicado em 22/05/2026 06:02 Vazamento de dados Tempo de leitura: 5 min

Google libera código de exploração para falha crítica no Chromium sem correção, expondo milhões de usuários a botnets furtivas. Falha reportada em 2022 permanece sem patch há 42 meses.

Descoberta e escopo da vulnerabilidade

O Google anunciou recentemente a liberação pública de código de prova de conceito (PoC) para uma vulnerabilidade crítica ainda não corrigida na base de código do Chromium. A falha, originalmente reportada em 2022 pela pesquisadora de segurança independente Lyra Rebane, permanece sem correção há mais de 42 meses. Classificada como Prioridade 1 (P1) e Severidade 2 (S2) no framework de classificação de vulnerabilidades do Chromium, a falha reside na API de Fetch do Navegador, um recurso projetado para permitir downloads grandes, como vídeos ou arquivos, que continuam em segundo plano por meio de Service Workers.

A descoberta de Rebane revelou que esse mecanismo pode ser explorado para criar tarefas persistentes que nunca terminam, mantendo comunicação contínua com infraestrutura controlada por atacantes. Ao aproveitar esse comportamento, os invasores podem estabelecer um canal de comunicação furtivo entre o navegador da vítima e um servidor de comando e controle (C2). Em algumas implementações, como no Microsoft Edge, a conexão pode persistir mesmo após o fechamento do navegador ou a reinicialização do sistema.

Impacto e alcance global

A vulnerabilidade afeta uma vasta gama de navegadores baseados no Chromium, incluindo Google Chrome, Microsoft Edge, Brave Browser, Opera e outros derivados. O impacto potencial é massivo, expondo milhões de usuários a um abuso estilo botnet furtivo. O exploit transforma efetivamente um navegador em um "nó de botnet limitado" sem exigir qualquer interação do usuário.

Qualquer usuário que visite um site malicioso ou comprometido pode ser inscrito silenciosamente nessa botnet baseada em navegador. A simplicidade do vetor de ataque é particularmente preocupante. De acordo com a divulgação de Rebane, os atacantes podem implantar uma página da web maliciosa que contém um Service Worker que inicia uma tarefa de busca em segundo plano que nunca termina. Isso permite a execução contínua de código JavaScript no dispositivo da vítima.

Vetor de exploração e cenários de abuso

Embora o exploit seja limitado pela sandboxing do navegador, suas capacidades ainda representam um risco significativo em escala. Os cenários de abuso potencial incluem:

  • Ataques de Negação de Serviço Distribuído (DDoS): Navegadores comprometidos podem ser orquestrados para inundar a infraestrutura alvo com tráfego.
  • Redes de Proxy: Os atacantes podem rotear tráfego malicioso ou anonimizado através dos navegadores das vítimas.
  • Redirecionamento de Tráfego: Os usuários podem ser redirecionados silenciosamente para destinos controlados por atacantes ou maliciosos.
  • Monitoramento de Atividade: Rastreamento limitado do comportamento de navegação e atividade de rede.

A pesquisadora enfatizou que, embora as capacidades atuais sejam limitadas a ações em nível de navegador, o risco real reside na combinação dessa vulnerabilidade com exploits futuros. Uma rede pré-estabelecida de navegadores comprometidos poderia servir como uma plataforma de lançamento para ataques mais avançados assim que vulnerabilidades adicionais forem identificadas.

Decisão controversa do Google

A decisão do Google de publicar o código de exploração antes de emitir um patch levantou preocupações dentro da comunidade de segurança. O PoC reduz a barreira de entrada para atores de ameaças, tornando a exploração "bastante fácil", de acordo com Rebane, embora a escalonamento das operações exija infraestrutura adicional. No rastreador de problemas do Chromium, vários desenvolvedores reconheceram a gravidade da falha, descrevendo-a como uma "vulnerabilidade séria". Apesar disso, nenhuma correção completa foi implementada até o momento.

Medidas de mitigação recomendadas

Até que um patch oficial seja lançado, usuários e organizações devem considerar as seguintes mitigações:

  • Restringir o uso de Service Workers por meio de políticas de navegador corporativo, quando viável.
  • Desativar recursos de busca em segundo plano, se configurável.
  • Usar monitoramento em nível de rede para detectar conexões de saída anômalas do navegador.
  • Implementar tecnologias de isolamento de navegador em ambientes corporativos.

Com o código de exploração agora público e sem patch disponível, a vulnerabilidade apresenta uma janela de oportunidade única para atores de ameaças que visam botnets baseadas em navegador em grande escala.

Implicações para o Brasil e conformidade

No contexto brasileiro, a persistência dessa falha por mais de três anos levanta questões sobre a governança de segurança de software e a responsabilidade dos fornecedores. Empresas que utilizam navegadores Chromium para acesso a sistemas críticos devem avaliar o risco de exposição de dados e a possibilidade de uso de seus dispositivos como nós de botnet. A LGPD pode ser impactada indiretamente se a exploração resultar em vazamento de dados ou acesso não autorizado a sistemas corporativos.

O que os CISOs devem fazer imediatamente

Os profissionais de segurança devem priorizar a revisão das políticas de uso de Service Workers e a implementação de monitoramento de tráfego de saída. A adoção de soluções de isolamento de navegador pode mitigar o risco de execução de código malicioso. Além disso, é crucial manter-se atualizado sobre o status do patch e comunicar as equipes de TI sobre os riscos associados.

Baseado em publicação original de Cyber Security News
Tags: #=google #chromium #vulnerabilidade #botnet #navegador #segurança #cibersegurança #mitigação #chrome
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar