Найти в Дзене
Информационная безопасность для каждого
1 подписчик

👨‍💻 Опять разработчики

2 мин
Уровень автоматизации, замена людей ИИ и массовые увольнения разработчиков не прошли бесследно. В последнее время стали часто появляться новости об их ошибках по опубликованию того, что не должно было публиковаться. И вот новый факап в отношении движка Chromium: инженеры Google 📡случайно раскрыли детали критической уязвимости, которая оставалась без исправления почти четыре года. Речь идёт о баге, позволяющем запускать JavaScript-код в фоновом режиме — даже после закрытия браузера, а в отдельных случаях и после перезагрузки устройства 😳. Предыстория Проблему выявили ещё в конце 2022 года. Техника позволяет превратить браузер жертвы в «постоянного участника JS-ботнета». Да, JavaScript не получает прямого доступа к файловой системе, почте или операционной системе. Однако он может выполнять всё, что разрешено браузеру: проксировать трафик, участвовать в DDoS-атаках, автоматически открывать сайты, майнить криптовалюту 💰 или отслеживать активность пользователя. Особенно тревожно ситуа

👨‍💻 Опять разработчики...

Уровень автоматизации, замена людей ИИ и массовые увольнения разработчиков не прошли бесследно. В последнее время стали часто появляться новости об их ошибках по опубликованию того, что не должно было публиковаться.

И вот новый факап в отношении движка Chromium: инженеры Google 📡случайно раскрыли детали критической уязвимости, которая оставалась без исправления почти четыре года. Речь идёт о баге, позволяющем запускать JavaScript-код в фоновом режиме — даже после закрытия браузера, а в отдельных случаях и после перезагрузки устройства 😳.

Предыстория

Проблему выявили ещё в конце 2022 года. Техника позволяет превратить браузер жертвы в «постоянного участника JS-ботнета». Да, JavaScript не получает прямого доступа к файловой системе, почте или операционной системе. Однако он может выполнять всё, что разрешено браузеру: проксировать трафик, участвовать в DDoS-атаках, автоматически открывать сайты, майнить криптовалюту 💰 или отслеживать активность пользователя.

Особенно тревожно ситуация выглядит в Microsoft 🌅 Edge: если раньше при эксплуатации уязвимости хотя бы появлялось всплывающее окно загрузок, то в новых версиях браузера этот индикатор исчез. В итоге вредоносный скрипт работает практически незаметно, не выдавая своего присутствия.

Самое удивительное в этой истории — временной масштаб. Ошибка оставалась без патча более 42 месяцев. Видимо, так как баг не нарушает классические границы безопасности браузера и не даёт прямого доступа к системе, то в Google могли недооценить его реальную опасность.

Текущая ситуация

Разработчики случайно пометили проблему как исправленную ещё в феврале 2026 года, однако патч так и не был выпущен. Из-за этого через 14 недель система Chromium Issue Tracker автоматически сняла ограничения и сделала отчёт об уязвимости публичным — вместе с рабочим PoC-эксплоитом. Вскоре запись снова скрыли, но то, что появилось в сети уже остается в ней 😄.

Представители Google подтвердили, что им известно о ненамеренной публикации эксплоита, и они уже работают над полноценным исправлением. Однако пока патчей нет, эксперты рекомендуют:

⏺Внимательно следить за аномалиями в меню загрузок браузера — они могут быть признаком эксплуатации;

⏺При первых признаках «тормозов» или странной активности — перезагружать браузер и устройство.

💬 Эта история только подтверждает мое подозрение, что человек часто является источником уязвимости, а перегруженный человек тем более.

📖 InfoSec Context