Une vulnérabilité zero-day dans **Chromium**, le projet open-source derrière **Google Chrome**, **Microsoft Edge** et d'autres navigateurs populaires, a été accidentellement exposée par **Google**. La faille, signalée par le chercheur en sécurité **Lyra Rebane**, permet au code JavaScript de continuer à s'exécuter en arrière-plan même après la fermeture du navigateur, permettant potentiellement l'exécution de code à distance (RCE) sur les appareils affectés. ### La Vulnérabilité La vulnérabilité, reconnue comme valide en décembre 2022, découle d'une faille dans la manière dont **Chromium** gère les Service Workers. Un attaquant pourrait l'exploiter en créant une page Web malveillante avec un Service Worker, tel qu'une tâche de téléchargement sans fin, qui persiste même après la fermeture du navigateur. **Rebane** explique que cela pourrait permettre aux attaquants d'exécuter du code JavaScript arbitraire sur les appareils des visiteurs, les transformant ainsi en membres involontaires d'un botnet. « Il est réaliste d'obtenir des dizaines de milliers de vues de page pour créer un 'botnet', et les gens ne se rendront pas compte que du JavaScript peut être exécuté à distance sur leur appareil », a déclaré **Rebane** dans le rapport de bug original. Les scénarios d'exploitation potentiels incluent le lancement d'attaques par déni de service distribué (DDoS), le proxy de trafic malveillant et la redirection de trafic vers des sites cibles. ### Impact Généralisé Le problème affecte tous les navigateurs basés sur **Chromium**, y compris **Google Chrome**, **Microsoft Edge**, **Brave**, **Opera**, **Vivaldi** et **Arc**. Cet impact étendu augmente considérablement la surface d'attaque potentielle. ### Un Problème Persistant Bien qu'il ait été signalé en 2022, le problème est resté non résolu. Le 26 octobre 2024, un développeur de **Google** a noté la gravité de la vulnérabilité et a demandé une mise à jour du statut. Le bug a été brièvement marqué comme corrigé le 10 février de cette année, mais a été rapidement rouvert en raison de préoccupations non résolues. Il a ensuite été marqué comme corrigé à nouveau le 12 février, bien qu'un patch n'ait jamais été déployé. **Rebane** a reçu une prime de bug de 1 000 $ par le biais du **Chrome** Vulnerability Rewards Program (VRP). Cependant, après que le bug a été fermé pendant plus de 14 semaines et marqué comme corrigé, les restrictions d'accès au traqueur de bugs **Chromium** ont été levées le 20 mai. Lors du re-test, **Rebane** a découvert que la vulnérabilité était toujours présente dans **Chrome Dev 150** et **Edge 148**. Le chercheur a mis en évidence le problème dans un post, déclarant : > « En 2022, j'ai trouvé un bug qui me permettrait, sans aucune interaction de l'utilisateur, de transformer n'importe quel navigateur basé sur **Chromium** en membre permanent d'un botnet JS », a déclaré le <a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606719764376414">chercheur</a> dans un post hier. > « Dans Edge, vous ne remarqueriez même rien d'inhabituel, et resteriez connecté au C2 même après avoir fermé le navigateur. » ### Exploitation plus Discrète Pour aggraver les choses, la fenêtre de téléchargement qui apparaissait auparavant lors du déclenchement de l'exploit n'apparaît plus dans la dernière version d'**Edge**, rendant l'exploit encore plus discret. > « OH NON, JE VIENS DE RÉALISER QUE CE N'EST PAS VRAIMENT CORRECTEMENT CORRIGÉ ET QUE ÇA MARCHE TOUJOURS », <a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606836889483917">a posté Rebane sur Mastodon</a>. > « Pire encore, Edge ne fait même plus apparaître le menu de téléchargement, c'est donc une exécution JS RCE complètement silencieuse qui continue de fonctionner même après avoir fermé le navigateur !! tout cela en visitant un seul site Web une seule fois !! » ### Divulgation Accidentelle et Impact Potentiel Bien que le problème ait été rapidement rendu privé à nouveau, l'exposition a suffi pour que l'information fuite. **Rebane** a déclaré à <a rel="nofollow noopener" href="https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/">Ars Technica</a> que l'exposition par **Google** rendrait l'exploitation « assez facile », bien que sa mise à l'échelle en un grand botnet soit plus compliquée. Elle a précisé que le bug ne contourne pas les limites de sécurité du navigateur et ne donne pas aux attaquants accès aux e-mails, aux fichiers ou au système d'exploitation hôte. Compte tenu des détails divulgués, le risque pour un grand nombre d'utilisateurs est important. **Google** devrait traiter cela comme urgent et publier des correctifs d'urgence prochainement. BleepingComputer a contacté **Google** pour obtenir un commentaire, mais n'a pas encore reçu de réponse. <div><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p><div><h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2><p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p><p>This guide covers the 6 surfaces you actually need to validate.</p><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p></div></div>