Die Sicherheitsforscherin Lyra Rebane entdeckte die Schwachstelle bereits 2022 und meldete sie Google. Das Problem: Ein Service Worker im Browser — beispielsweise eine Download-Task — läuft dauerhaft weiter, auch wenn der Browser geschlossen wird. Ein Angreifer könnte dies ausnutzen, um JavaScript-Code auf den Geräten von Besuchern einer manipulierten Webseite auszuführen. “Es ist realistisch, Zehntausende von Seitenaufrufen zu generieren und damit ein Botnet zu erstellen, ohne dass Nutzer bemerken, dass JavaScript remote auf ihrem Gerät ausgeführt wird”, warnte Rebane in ihrem ursprünglichen Bericht.
Die Auswirkungen könnten erheblich sein: Angreifer könnten Distributed-Denial-of-Service-Anschläge (DDoS) starten, bösartigen Datenverkehr weiterleiten oder Nutzer auf gefährliche Websites umleiten. Besonders beunruhigend ist, dass Nutzer von nichts bemerken würden — in Microsoft Edge zeigt sich nicht einmal ein Download-Popup mehr.
Obwohl Google die Schwachstelle im Februar 2024 als “behoben” kennzeichnete, testete Rebane den angeblichen Fix und stellte fest: Das Problem existiert immer noch. In Chrome Dev 150 und Edge 148 funktioniert der Exploit weiterhin einwandfrei. Am 20. Mai wurden die Zugriffsbeschränkungen auf dem Chromium Issue Tracker entfernt — ein Fehler, da die Details dadurch öffentlich wurden.
Rebane erhielt zwar ein Bug-Bounty von 1.000 Dollar, doch der Schaden ist längst angerichtet. Die Lücke betrifft alle Chromium-basierten Browser: Chrome, Edge, Brave, Opera, Vivaldi und Arc. Google wird diese Preisgabe als kritisch bewerten und voraussichtlich schnell einen Emergency-Patch bereitstellen müssen.
Zwar können Angreifer durch diese Lücke nicht auf Dateien, E-Mails oder das Betriebssystem zugreifen, doch für die Erstellung großer Botnets ist dies nicht nötig. Die Tatsache, dass Exploit-Details nun frei verfügbar sind, macht Attacken deutlich einfacher. Deutsche Unternehmen und Behörden sollten ihre Systeme auf verdächtige Aktivitäten überwachen und ihre Nutzer sensibilisieren.