Uma vulnerabilidade zero-day no **Chromium**, o projeto de código aberto por trás do **Google Chrome**, **Microsoft Edge** e outros navegadores populares, foi acidentalmente exposta pelo **Google**. A falha, relatada pela pesquisadora de segurança **Lyra Rebane**, permite que código JavaScript continue em execução em segundo plano mesmo após o fechamento do navegador, possibilitando a execução remota de código (RCE) em dispositivos afetados. ### A Vulnerabilidade A vulnerabilidade, reconhecida como válida em dezembro de 2022, decorre de uma falha na forma como o **Chromium** lida com Service Workers. Um atacante poderia explorar isso criando uma página da web maliciosa com um Service Worker, como uma tarefa de download interminável, que persiste mesmo após o fechamento do navegador. **Rebane** explica que isso poderia permitir que atacantes executassem código JavaScript arbitrário nos dispositivos dos visitantes, transformando-os efetivamente em membros involuntários de uma botnet. "É realista obter dezenas de milhares de visualizações de página para criar uma 'botnet', e as pessoas não estarão cientes de que o JavaScript pode ser executado remotamente em seus dispositivos", declarou **Rebane** no relatório de bug original. Cenários de exploração potenciais incluem o lançamento de ataques de negação de serviço distribuído (DDoS), proxy de tráfego malicioso e redirecionamento de tráfego para sites alvo. ### Impacto Generalizado O problema afeta todos os navegadores baseados em **Chromium**, incluindo **Google Chrome**, **Microsoft Edge**, **Brave**, **Opera**, **Vivaldi** e **Arc**. Esse amplo impacto aumenta significativamente a superfície de ataque potencial. ### Um Problema Persistente Apesar de ter sido relatado em 2022, o problema permaneceu sem solução. Em 26 de outubro de 2024, um desenvolvedor do **Google** observou a gravidade da vulnerabilidade e solicitou uma atualização de status. O bug foi brevemente marcado como corrigido em 10 de fevereiro deste ano, mas foi rapidamente reaberto devido a preocupações não resolvidas. Em seguida, foi marcado como corrigido novamente em 12 de fevereiro, embora um patch nunca tenha sido enviado. **Rebane** recebeu uma recompensa de bug de US$ 1.000 através do **Chrome** Vulnerability Rewards Program (VRP). No entanto, após o bug ter sido fechado por mais de 14 semanas e marcado como corrigido, as restrições de acesso ao **Chromium** Issue Tracker foram removidas em 20 de maio. Ao retestar, **Rebane** descobriu que a vulnerabilidade ainda estava presente no **Chrome Dev 150** e no **Edge 148**. A pesquisadora destacou o problema em uma postagem, afirmando: > "Em 2022, encontrei um bug que me permitiria, sem interação do usuário, transformar qualquer navegador baseado em **Chromium** em um membro permanente de uma botnet de JS", disse o <a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606719764376414">pesquisador em uma postagem ontem</a>. > "No Edge, você nem notaria nada fora do lugar e permaneceria conectado ao C2 mesmo após fechar o navegador." ### Exploração Mais Discreta Para piorar, o prompt de download que anteriormente aparecia ao acionar o exploit não aparece mais na versão mais recente do **Edge**, tornando o exploit ainda mais discreto. > "OH NÃO, ACABEI DE PERCEBER QUE ISSO NÃO ESTÁ REALMENTE CORRIGIDO E AINDA FUNCIONA", <a rel="nofollow noopener" href="https://infosec.exchange/@rebane2001/116606836889483917">postou Rebane no Mastodon</a>. > "Pior ainda, o Edge não exibe mais o menu de download, então é uma execução silenciosa de JS RCE que continua rodando mesmo após você fechar o navegador!! tudo isso apenas visitando um único site uma vez!!" ### Divulgação Acidental e Impacto Potencial Embora o problema tenha sido rapidamente tornado privado novamente, a exposição foi suficiente para que a informação vazasse. **Rebane** <a rel="nofollow noopener" href="https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/">disse ao Ars Technica</a> que a exposição do **Google** tornaria a exploração "bem fácil", embora escalá-la para uma grande botnet seja mais complicado. Ela esclareceu que o bug não contorna os limites de segurança do navegador e não concede aos atacantes acesso a e-mails, arquivos ou ao sistema operacional host. Dado os detalhes vazados, o risco para um grande número de usuários é significativo. Espera-se que o **Google** trate isso como urgente e lance correções emergenciais em breve. O BleepingComputer entrou em contato com o **Google** para comentar, mas ainda não recebeu resposta. <div><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0"><img alt="article image" src="https://www.bleepstatic.com/c/p/validation-gap.jpg"></a></p><div><h2><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">The Validation Gap: Automated Pentesting Answers One Question. You Need Six.</a></h2><p>Automated pentesting tools deliver real value, but they were built to answer one question: can an attacker move through the network? They were not built to test whether your controls block threats, your detection rules fire, or your cloud configs hold.</p><p>This guide covers the 6 surfaces you actually need to validate.</p><p><a rel="noopener nofollow" href="https://hubs.li/Q048zztN0">Download Now</a></p></div></div>