#news Google вчера по ошибке опубликовала проверку концепции от ещё не исправленной уязвимости в Chromium. Она позволяет злоумышленнику получить ограниченный доступ к браузеру через Browser Fetch.
Доступа к почте или системе юзера CVE не даёт, здесь больше ограниченная функциональность под ботнет. При этом об уязвимости Google сообщили ещё в конце 2022-го, и всё это время она, судя по всему, болталась где-то на задворках бэклога. Когда исследователь увидел код эксплойта в системе отслеживания багов Chromium, он решил, что уязвимость наконец закрыли — проверил и изрядно удивился. Публикацию Google удалила, но осадочек-то остался — в виде проиндексированной страницы. Уязвимость в переписке разрабы называли серьёзной, оценили на S1 — второй уровень опасности. А дальше, так сказать, ошибочка вышла.
