Una vulnerabilidad zero-day en **Chromium**, el proyecto de código abierto detrás de **Google Chrome**, **Microsoft Edge** y otros navegadores populares, ha sido expuesta accidentalmente por **Google**. La falla, reportada por el investigador de seguridad **Lyra Rebane**, permite que el código JavaScript continúe ejecutándose en segundo plano incluso después de cerrar el navegador, lo que podría posibilitar la ejecución remota de código (RCE) en los dispositivos afectados. ### La Vulnerabilidad La vulnerabilidad, reconocida como válida en diciembre de 2022, se origina en una falla en la forma en que **Chromium** maneja los Service Workers. Un atacante podría explotarla creando una página web maliciosa con un Service Worker, como una tarea de descarga interminable, que persista incluso después de cerrar el navegador. **Rebane** explica que esto podría permitir a los atacantes ejecutar código JavaScript arbitrario en los dispositivos de los visitantes, convirtiéndolos efectivamente en miembros involuntarios de una botnet. "Es realista obtener decenas de miles de visitas a páginas para crear una 'botnet', y la gente no será consciente de que JavaScript puede ejecutarse de forma remota en su dispositivo", declaró **Rebane** en el informe de error original. Los escenarios potenciales de explotación incluyen el lanzamiento de ataques de denegación de servicio distribuido (DDoS), el proxy de tráfico malicioso y la redirección de tráfico a sitios objetivo. ### Impacto Generalizado El problema afecta a todos los navegadores basados en **Chromium**, incluyendo **Google Chrome**, **Microsoft Edge**, **Brave**, **Opera**, **Vivaldi** y **Arc**. Este amplio impacto aumenta significativamente la superficie de ataque potencial. ### Un Problema Persistente A pesar de haber sido reportado en 2022, el problema permaneció sin resolver. El 26 de octubre de 2024, un desarrollador de **Google** señaló la gravedad de la vulnerabilidad y solicitó una actualización de estado. El error fue marcado brevemente como corregido el 10 de febrero de este año, pero se reabrió rápidamente debido a preocupaciones no resueltas. Luego se marcó nuevamente como corregido el 12 de febrero, aunque nunca se envió un parche. **Rebane** recibió una recompensa por error de $1,000 a través del Programa de Recompensas por Vulnerabilidades de Chrome (VRP). Sin embargo, después de que el error se cerrara por más de 14 semanas y se marcara como corregido, las restricciones de acceso al Rastreador de Errores de **Chromium** se eliminaron el 20 de mayo. Al volver a probar, **Rebane** descubrió que la vulnerabilidad todavía estaba presente en **Chrome Dev 150** y **Edge 148**. El investigador destacó el problema en una publicación, afirmando: > “En 2022, encontré un error que me permitiría, sin ninguna interacción del usuario, convertir cualquier navegador basado en **Chromium** en un miembro permanente de una botnet de JS”, dijo el <a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606719764376414">investigador</a> en una publicación ayer. > “En Edge, ni siquiera notarías nada fuera de lugar, y permanecerías conectado al C2 incluso después de cerrar el navegador”. ### Explotación más Sigilosa Para empeorar las cosas, el aviso de descarga que antes aparecía al activar el exploit ya no aparece en la última versión de **Edge**, lo que hace que el exploit sea aún más sigiloso. > “OH NO ACABO DE DARME CUENTA DE QUE ESTO NO ESTÁ REALMENTE CORREGIDO Y TODAVÍA FUNCIONA”, publicó **Rebane** en Mastodon. > “Peor aún, Edge ya ni siquiera muestra el menú de descarga, ¡así que es una RCE de JS completamente silenciosa que sigue funcionando incluso después de cerrar el navegador! ¡Todo con solo visitar un sitio web una vez!!”. ### Divulgación Accidental e Impacto Potencial Aunque el problema se volvió privado nuevamente rápidamente, la exposición fue suficiente para que la información se filtrara. **Rebane** <a rel="nofollow noopener" href="https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/">dijo a Ars Technica</a> que la exposición de **Google** haría la explotación "bastante fácil", aunque escalarla a una botnet grande es más complicado. Aclaró que el error no elude los límites de seguridad del navegador y no otorga a los atacantes acceso a correos electrónicos, archivos o el sistema operativo anfitrión. Dados los detalles filtrados, el riesgo para un gran número de usuarios es significativo. Se espera que **Google** trate esto como urgente y publique correcciones de emergencia pronto. BleepingComputer se ha puesto en contacto con **Google** para obtener comentarios, pero aún no ha recibido respuesta. <div><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p><div><h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2><p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p><p>This guide covers the 6 surfaces you actually need to validate.</p><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p></div></div>