Google意外洩露Chrome未修補漏洞Fetch API遠端執行PoC

2026年5月20日,Google意外在Chromium專案程式碼庫中公開一個存在約4年、尚未修補漏洞的PoC概念驗證程式碼,影響所有Chromium系瀏覽器。

漏洞說明

  • 攻擊媒介: 濫用瀏覽器Fetch API(原用於背景下載影片/大型檔案)
  • 漏洞性質: 可允許攻擊者在用戶完全無法察覺的情況下遠端利用執行JavaScript
  • 通報者: 資安研究員Lyra Rebane(約2022年通報)

影響範圍

所有基於Chromium的瀏覽器:Chrome、Edge、Brave、Vivaldi、Arc

可能危害

  1. 監控瀏覽器使用情況
  2. 將受害電腦作為代理伺服器
  3. 發動DDoS攻擊
  4. 建立殭屍網路
  5. 代理惡意流量或重導向流量

事件時序

時間事件
約2022年Lyra Rebane通報漏洞
2022年12月Chromium確認漏洞
2026-05-20Google意外公開PoC
2026-05-22Google聲明著手修復

Google回應

Google已得知程式碼公開,著手修復;但據傳PoC已遭備份。

來源文章

相關頁面

  • google — 漏洞所屬廠商(Google Chrome)