Nach dem ursprünglichen Fehlerbericht ließe sich der Fehler ausnutzen, indem ein Angreifer eine bösartige Webseite mit einem Service Worker erstellt, der sich nicht beendet. „Es ist realistisch, Zehntausende Seitenaufrufe für den Aufbau eines ‚Botnetzes‘ zu erreichen, und die Leute werden nicht ahnen, dass JavaScript aus der Ferne auf ihrem Gerät ausgeführt werden kann“, schrieb Rebane im ursprünglichen Bericht. Als mögliche Angriffsszenarien nennt sie den Missbrauch gekaperter Browser für verteilte Denial-of-Service-Angriffe (DDoS), das Weiterleiten von Schadverkehr über die Geräte sowie das beliebige Umleiten von Datenverkehr auf Zielseiten.

Der zeitliche Verlauf zieht sich über Jahre: Im Oktober 2024 bemerkte ein Google-Entwickler, dass der Eintrag noch offen war, und bezeichnete ihn als „ernste Schwachstelle“, die ein Status-Update brauche, „um sicherzustellen, dass es Fortschritte gibt“. In diesem Jahr wurde das Problem am 10. Februar als behoben markiert, wenige Minuten später aber wegen mehrerer Bedenken erneut geöffnet. Weil es sich um ein Sicherheitsproblem handelte, wurden die Kennzeichnungen so angepasst, dass der Fall durch das Chrome Vulnerability Rewards Program (VRP) laufen konnte; am 12. Februar wurde er erneut als behoben markiert, obwohl kein Patch ausgeliefert worden war. Eine automatische E-Mail teilte Rebane mit, dass ihr eine Belohnung von 1.000 US-Dollar zugesprochen worden sei.

Am 20. Mai wurden sämtliche Zugriffsbeschränkungen im Chromium Issue Tracker aufgehoben, da der Eintrag seit mehr als 14 Wochen geschlossen und als behoben geführt wurde. Am selben Tag prüfte Rebane den vermeintlichen Fix und stellte fest, dass das Problem in Chrome Dev 150 und Edge 148 weiterhin bestand.

„Schon 2022 fand ich einen Fehler, mit dem ich ohne jede Nutzerinteraktion jeden Chromium-basierten Browser zu einem dauerhaften JavaScript-Botnetz-Mitglied machen konnte“, erklärte die Forscherin in einem Beitrag. „In Edge würde man nichts Auffälliges bemerken und bliebe auch nach dem Schließen des Browsers mit dem C2 verbunden.“ Erschwerend kommt hinzu, dass das früher beim Auslösen des Exploits erscheinende Download-Fenster im aktuellen Edge nicht mehr auftaucht, was den Angriff noch unauffälliger macht. „Sogar noch schlimmer: Edge zeigt nicht einmal mehr das Download-Menü an, es ist also völlig stille JavaScript-Codeausführung aus der Ferne, die auch nach dem Schließen des Browsers weiterläuft – allein durch den einmaligen Besuch einer einzigen Website“, schrieb Rebane auf Mastodon.

Der Eintrag wurde zwar wieder auf privat gestellt, doch die Offenlegung dauerte lang genug, dass die Informationen nach außen gelangten. Gegenüber Ars Technica sagte Rebane, Googles Offenlegung mache eine Ausnutzung „ziemlich einfach“; sie zu einem großen Botnetz auszubauen, sei allerdings komplizierter. Zugleich stellte sie klar, dass der Fehler keine Sicherheitsgrenzen des Browsers durchbricht und Angreifern keinen Zugriff auf E-Mails, Dateien oder das Betriebssystem des Opfers verschafft.

BleepingComputer hat Google um eine Stellungnahme gebeten, bis zur Veröffentlichung jedoch keine Antwort erhalten.