Eine Zero-Day-Schwachstelle in **Chromium**, dem Open-Source-Projekt hinter **Google Chrome**, **Microsoft Edge** und anderen beliebten Browsern, wurde versehentlich von **Google** offengelegt. Die von Sicherheitsforscherin **Lyra Rebane** gemeldete Lücke ermöglicht es JavaScript-Code, auch nach dem Schließen des Browsers im Hintergrund weiter zu laufen, was potenziell Remote Code Execution (RCE) auf betroffenen Geräten ermöglicht. ### Die Schwachstelle Die im Dezember 2022 als gültig anerkannte Schwachstelle beruht auf einem Fehler in der Art und Weise, wie **Chromium** Service Worker behandelt. Ein Angreifer könnte dies ausnutzen, indem er eine bösartige Webseite mit einem Service Worker erstellt, z. B. eine nie endende Download-Aufgabe, die auch nach dem Schließen des Browsers bestehen bleibt. **Rebane** erklärt, dass dies Angreifern ermöglichen könnte, beliebigen JavaScript-Code auf den Geräten von Besuchern auszuführen und diese effektiv zu unfreiwilligen Mitgliedern eines Botnets zu machen. "Es ist realistisch, Zehntausende von Seitenaufrufen zu erzielen, um ein 'Botnet' zu erstellen, und die Leute werden nicht einmal bemerken, dass JavaScript remote auf ihrem Gerät ausgeführt werden kann", sagte **Rebane** im ursprünglichen Bug-Report. Potenzielle Ausfallszenarien umfassen den Start von Distributed Denial-of-Service (DDoS)-Angriffen, das Proxying von bösartigem Traffic und die Umleitung von Traffic zu Zielseiten. ### Weitreichende Auswirkungen Das Problem betrifft alle **Chromium**-basierten Browser, einschließlich **Google Chrome**, **Microsoft Edge**, **Brave**, **Opera**, **Vivaldi** und **Arc**. Diese breite Auswirkung erhöht die potenzielle Angriffsfläche erheblich. ### Ein persistentes Problem Obwohl das Problem bereits 2022 gemeldet wurde, blieb es ungelöst. Am 26. Oktober 2024 bemerkte ein **Google**-Entwickler die Schwere der Schwachstelle und forderte ein Update des Status an. Der Bug wurde am 10. Februar dieses Jahres kurzzeitig als behoben markiert, aber aufgrund ungelöster Bedenken schnell wieder geöffnet. Anschließend wurde er am 12. Februar erneut als behoben markiert, obwohl nie ein Patch veröffentlicht wurde. **Rebane** erhielt ein Bug-Bounty von 1.000 US-Dollar über das **Chrome** Vulnerability Rewards Program (VRP). Nachdem der Bug jedoch über 14 Wochen lang geschlossen und als behoben markiert war, wurden die Zugriffsbeschränkungen für den **Chromium** Issue Tracker am 20. Mai aufgehoben. Beim erneuten Testen stellte **Rebane** fest, dass die Schwachstelle in **Chrome Dev 150** und **Edge 148** immer noch vorhanden war. Der Forscher hob das Problem in einem Beitrag hervor und erklärte: > „Schon 2022 habe ich einen Bug gefunden, der es mir ohne Benutzerinteraktion ermöglichen würde, jeden **Chromium**-basierten Browser in ein permanentes JS-Botnet-Mitglied zu verwandeln“, sagte der <a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606719764376414">Forscher gestern in einem Beitrag</a>. > „In Edge würde man nicht einmal etwas Ungewöhnliches bemerken und bliebe auch nach dem Schließen des Browsers mit dem C2 verbunden.“ ### Heimlichere Ausnutzung Was die Sache noch schlimmer macht: Die Download-Aufforderung, die zuvor beim Auslösen des Exploits erschien, wird in der neuesten Version von **Edge** nicht mehr angezeigt, was den Exploit noch heimlicher macht. > „OH NEIN, MIR IST GERADE AUFGEFALLEN, DASS DAS NICHT WIRKLICH RICHTIG BEHOBEN IST UND IMMER NOCH FUNKTIONIERT“, <a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606836889483917">postete Rebane auf Mastodon</a>. > „Noch schlimmer ist, dass Edge das Download-Menü gar nicht mehr aufpoppen lässt, sodass es sich um eine völlig lautlose JS RCE handelt, die auch nach dem Schließen des Browsers weiterläuft!! Alles nur durch einmaligen Besuch einer einzigen Webseite!!“ ### Versehentliche Offenlegung und potenzielle Auswirkungen Obwohl das Problem schnell wieder privat gemacht wurde, reichte die Offenlegung aus, damit die Informationen durchsickerten. **Rebane** <a rel="nofollow noopener" href="https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/">sagte Ars Technica</a>, dass Googles Offenlegung die Ausnutzung „ziemlich einfach“ machen würde, obwohl die Skalierung zu einem großen Botnet komplizierter sei. Sie stellte klar, dass der Bug keine Browser-Sicherheitsgrenzen umgeht und Angreifern keinen Zugriff auf E-Mails, Dateien oder das Host-Betriebssystem gewährt. Angesichts der durchgesickerten Details ist das Risiko für eine große Anzahl von Nutzern erheblich. **Google** wird voraussichtlich dringend handeln und bald Notfall-Patches veröffentlichen. BleepingComputer hat **Google** um einen Kommentar gebeten, hat jedoch noch keine Antwort erhalten. <div><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p><div><h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2><p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p><p>This guide covers the 6 surfaces you actually need to validate.</p><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p></div></div>