Google意外洩露Chrome未修補漏洞Fetch API遠端執行PoC
2026年5月20日,Google意外在Chromium專案程式碼庫中公開一個存在約4年、尚未修補漏洞的PoC概念驗證程式碼,影響所有Chromium系瀏覽器。
漏洞說明
- 攻擊媒介: 濫用瀏覽器Fetch API(原用於背景下載影片/大型檔案)
- 漏洞性質: 可允許攻擊者在用戶完全無法察覺的情況下遠端利用執行JavaScript
- 通報者: 資安研究員Lyra Rebane(約2022年通報)
影響範圍
所有基於Chromium的瀏覽器:Chrome、Edge、Brave、Vivaldi、Arc 等
可能危害
- 監控瀏覽器使用情況
- 將受害電腦作為代理伺服器
- 發動DDoS攻擊
- 建立殭屍網路
- 代理惡意流量或重導向流量
事件時序
| 時間 | 事件 |
|---|---|
| 約2022年 | Lyra Rebane通報漏洞 |
| 2022年12月 | Chromium確認漏洞 |
| 2026-05-20 | Google意外公開PoC |
| 2026-05-22 | Google聲明著手修復 |
Google回應
Google已得知程式碼公開,著手修復;但據傳PoC已遭備份。
來源文章
相關頁面
- google — 漏洞所屬廠商(Google Chrome)