Google heeft exploitcode vrijgegeven voor een nog niet verholpen kwetsbaarheid in de Chromium-browsercode, die miljoenen gebruikers van Chrome, Microsoft Edge en vrijwel alle andere Chromium-gebaseerde browsers bedreigt. De proof-of-concept maakt misbruik van de Browser Fetch API, een standaard die het mogelijk maakt om grote bestanden zoals lange video's op de achtergrond te downloaden. Met deze exploit kan een aanvaller een verbinding opzetten om bepaalde aspecten van het browsergebruik van een gebruiker te monitoren en fungeren als proxy voor het bezoeken van websites en het uitvoeren van denial-of-service-aanvallen.

Afhankelijk van de gebruikte browser blijven deze verbindingen open, zelfs na het herstarten van de browser of het apparaat. De kwetsbaarheid is al 29 maanden bekend, maar nog steeds niet opgelost. Elke bezochte website kan de kwetsbaarheid misbruiken, waardoor een apparaat in feite een beperkte achterdeur krijgt en onderdeel kan worden van een botnet. De mogelijkheden zijn beperkt tot wat een browser kan doen, zoals het bezoeken van kwaadaardige sites, anoniem proxyverkeer faciliteren, DDoS-aanvallen uitvoeren via proxy en gebruikersactiviteit monitoren. Desondanks kan een aanvaller hiermee duizenden tot mogelijk miljoenen apparaten aansturen. Zodra een aanvullende kwetsbaarheid beschikbaar komt, kunnen al deze apparaten verder worden gecompromitteerd.

De ontdekker van de kwetsbaarheid, onafhankelijk onderzoeker Lyra Rebane, meldde deze eind 2022 privé aan Google. Hij gaf aan dat het gebruik van de door Google voortijdig gepubliceerde exploitcode relatief eenvoudig is, hoewel het opschalen naar een groot netwerk meer werk vereist. In de communicatie met Google werd de kwetsbaarheid als ernstig beoordeeld en kreeg het de classificatie S1, de op een na hoogste ernstgraad. Na bijna drie jaar bleef de kwetsbaarheid onbekend buiten de Chromium-ontwikkelaars, tot de code woensdag werd gepubliceerd op de Chromium bugtracker. Rebane dacht aanvankelijk dat de kwetsbaarheid was opgelost, maar ontdekte kort daarna dat dit niet het geval was. Hoewel Google de publicatie verwijderde, is de exploitcode nog steeds beschikbaar via archiefsites.

Volgens Rebane zijn lange vertragingen bij het oplossen van Chromium-kwetsbaarheden niet ongewoon, maar deze situatie is uitzonderlijk vanwege de lange duur. De kwetsbaarheid geeft geen directe toegang tot e-mails of het systeem, wat mogelijk heeft geleid tot een onderschatting binnen Google. De exploit opent een service worker die actief blijft, aangestuurd door JavaScript op een kwaadaardige website. Het gedrag is moeilijk te detecteren, vooral in Edge, waar een downloads-dropdownvenster mogelijk kort opent zonder items toe te voegen en daarna niet meer verschijnt. In Chrome is dit venster zichtbaarder. Minder ervaren gebruikers zullen dit waarschijnlijk als een irritante bug zien zonder te beseffen dat hun apparaat is gecompromitteerd.