Google pubblica per errore un exploit di Chromium senza averlo corretto: Chrome e gli altri browser restano senza patch

Google pubblica per errore un exploit di Chromium senza averlo corretto: Chrome e gli altri browser restano senza patch

di Sergio Donato - 21/05/2026 10:43 0

Un sito malevolo può usare il bug per controllare in parte il browser anche dopo il riavvio. Google ha pubblicato l’exploit per errore e la patch non c’è

Google ha pubblicato per errore il codice di exploit di una vulnerabilità in Chromium che non è stata ancora corretta, nonostante la segnalazione risalga a oltre 29 mesi fa. La falla riguarda Chrome, Edge, Brave, Opera, Vivaldi, Arc e tutti i browser basati sul motore Chromium. Firefox e Safari non sono coinvolti.

La vulnerabilità sfrutta la Browser Fetch API, un'interfaccia standard usata per scaricare file di grandi dimensioni in background. Attraverso JavaScript eseguito da un sito malevolo, un attaccante può registrare nel browser una sorta di processo in background, chiamato service worker, capace di restare attivo anche dopo la chiusura o il riavvio del browser o del dispositivo. Il risultato è un canale di controllo parziale sul browser, utilizzabile per monitorare l'attività dell'utente, instradare traffico anonimo o lanciare attacchi DDoS per procura.