Google Publica Acidentalmente Exploit para Vulnerabilidade Não Corrigida
Engenheiros do Google revelaram, por engano, detalhes de uma vulnerabilidade perigosa no Chromium que permaneceu sem correção por quase quatro anos. O bug permite a execução contínua de código JavaScript em segundo plano, mesmo após o fechamento do navegador e, em alguns casos, após a reinicialização do dispositivo. A falha afeta diversos navegadores baseados em Chromium.
MundiX News·23 de maio de 2026·2 min de leitura·👁 10 views
A equipe do Google inadvertidamente expôs detalhes de uma vulnerabilidade crítica no Chromium, que permaneceu sem correção por quase quatro anos. A falha, que permite a execução persistente de código JavaScript em segundo plano, mesmo após o fechamento do navegador e reinicializações do sistema, representa uma ameaça significativa para usuários de navegadores como Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc.
A vulnerabilidade foi descoberta no final de 2022 pela pesquisadora independente Lyra Rebane. O problema reside na API Background Fetch, projetada para download em segundo plano de arquivos grandes, como vídeos. A falha permite que um site malicioso lance um Service Worker que opera continuamente em segundo plano. Segundo Rebane, isso pode transformar o navegador da vítima em um "participante permanente em uma botnet JS". Embora o JavaScript não tenha acesso direto a arquivos, e-mails ou ao sistema operacional, ele pode executar tarefas permitidas pelo navegador, como proxy de tráfego, participação em ataques DDoS, abertura de sites e rastreamento da atividade do usuário.
A situação é particularmente preocupante no Microsoft Edge, onde a ausência de indicadores visuais de download torna a execução do JavaScript malicioso quase imperceptível. O Google, aparentemente, marcou o problema como corrigido em fevereiro de 2026, mas a correção nunca foi implementada. Como resultado, o Chromium Issue Tracker tornou o relatório de vulnerabilidade público, incluindo um Proof of Concept (PoC) exploit, após 14 semanas. Embora a informação tenha sido posteriormente removida, ela já havia se espalhado por arquivos e sites de terceiros. Rebane observa que a exploração do bug é "bastante simples", embora a criação de uma botnet em larga escala exija esforço adicional. Os desenvolvedores do Chromium classificaram a vulnerabilidade como "séria" e atribuíram a ela a prioridade P1, o segundo nível mais crítico. A falha permaneceu sem correção por mais de 42 meses, possivelmente devido à percepção de que ela não violava as fronteiras clássicas de segurança do navegador.
Representantes do Google confirmaram que estão cientes da publicação não intencional do exploit e estão trabalhando em uma correção. Enquanto isso, usuários de navegadores Chromium são aconselhados a monitorar anomalias relacionadas ao menu de downloads, que podem indicar a exploração da vulnerabilidade.
A equipe do Google inadvertidamente expôs detalhes de uma vulnerabilidade crítica no Chromium, que permaneceu sem correção por quase quatro anos. A falha, que permite a execução persistente de código JavaScript em segundo plano, mesmo após o fechamento do navegador e reinicializações do sistema, representa uma ameaça significativa para usuários de navegadores como Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc.
A vulnerabilidade foi descoberta no final de 2022 pela pesquisadora independente Lyra Rebane. O problema reside na API Background Fetch, projetada para download em segundo plano de arquivos grandes, como vídeos. A falha permite que um site malicioso lance um Service Worker que opera continuamente em segundo plano. Segundo Rebane, isso pode transformar o navegador da vítima em um "participante permanente em uma botnet JS". Embora o JavaScript não tenha acesso direto a arquivos, e-mails ou ao sistema operacional, ele pode executar tarefas permitidas pelo navegador, como proxy de tráfego, participação em ataques DDoS, abertura de sites e rastreamento da atividade do usuário.
A situação é particularmente preocupante no Microsoft Edge, onde a ausência de indicadores visuais de download torna a execução do JavaScript malicioso quase imperceptível. O Google, aparentemente, marcou o problema como corrigido em fevereiro de 2026, mas a correção nunca foi implementada. Como resultado, o Chromium Issue Tracker tornou o relatório de vulnerabilidade público, incluindo um Proof of Concept (PoC) exploit, após 14 semanas. Embora a informação tenha sido posteriormente removida, ela já havia se espalhado por arquivos e sites de terceiros. Rebane observa que a exploração do bug é "bastante simples", embora a criação de uma botnet em larga escala exija esforço adicional. Os desenvolvedores do Chromium classificaram a vulnerabilidade como "séria" e atribuíram a ela a prioridade P1, o segundo nível mais crítico. A falha permaneceu sem correção por mais de 42 meses, possivelmente devido à percepção de que ela não violava as fronteiras clássicas de segurança do navegador.
Representantes do Google confirmaram que estão cientes da publicação não intencional do exploit e estão trabalhando em uma correção. Enquanto isso, usuários de navegadores Chromium são aconselhados a monitorar anomalias relacionadas ao menu de downloads, que podem indicar a exploração da vulnerabilidade.
