В мае 2026 года исследователь безопасности Лира Ребане раскрыла информацию о критической уязвимости в браузерах на движке Chromium (Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc), которая позволяет злоумышленникам превращать устройства пользователей в ботнет.
О проблеме сообщили Google ещё в конце 2022 года, но спустя более двух лет она не устранена. Уязвимость классифицирована как S1 — второй по критичности уровень опасности.
Злоумышленники могут внедрить JavaScript-код на скомпрометированные сайты, который активирует сервис-воркеры. Это позволяет установить постоянное соединение с браузером жертвы.
Через него киберпреступники могут использовать устройство как прокси для анонимного доступа к сайтам, организовывать DDoS-атаки и собирать данные о действиях пользователя.
В некоторых браузерах соединение сохраняется даже после перезапуска программы или устройства.
Особую опасность представляет Microsoft Edge: вредоносный скрипт может вызвать появление пустого окна загрузки, которое после перезапуска браузера больше не показывается.
В Chrome индикатор загрузки заметнее, но большинство пользователей примут его за обычный сбой. Google удалила сообщение с эксплойт-кодом после осознания, что исправление до сих пор не выпущено.
Однако один из разработчиков Chromium отметил, что механизм фоновой загрузки Browser Fetch (используемый для загрузки больших файлов и видео) применяется ограниченно, что может снижать масштаб атак.
Проблема не затрагивает Mozilla Firefox и Safari, так как они не поддерживают этот API.
