Google po nesreči razkril kritično ranljivost v Chromium

Google se je znašel v neprijetnem položaju, ko je predčasno razkril podrobnosti o kritični varnostni ranljivosti v Chromium, ki še ni bila odpravljena. Ranljivost omogoča, da JavaScript koda nadaljuje z izvajanjem v ozadju tudi po tem, ko uporabnik zapre brskalnik, kar napadalcem odpira vrata za oddaljeno izvajanje kode na napadeni napravi.

Incident predstavlja kršitev Googlovih lastnih pravil o odgovornem razkrivanju ranljivosti, ki običajno določajo 90-dnevno obdobje za popravek, preden se podrobnosti objavijo javno. V tem primeru so bile tehnične informacije o ranljivosti objavljene, še preden so razvijalci Chromium imeli priložnost pripraviti in distribuirati varnostni popravek.

Ranljivost je še posebej zaskrbljujoča, saj vpliva na osnovni varnostni model spletnih brskalnikov. Normalno bi moral brskalnik ob zaprtju prekiniti vse aktivne procese in skripte, kar preprečuje, da bi spletne strani v ozadju izvajale nezaželene operacije. Ta napaka to temeljno varnostno načelo ruši.

Strokovnjaki za kibernetsko varnost opozarjajo, da lahko napadalci to ranljivost izkoristijo za različne zlonamerne aktivnosti, vključno z namestitvijo zlonamerne programske opreme, krajo občutljivih podatkov ali vzpostavitvijo vztrajnega dostopa do sistema žrtve. Še posebej ranljivi so uporabniki, ki redno zapirajo brskalnik z namenom povečanja varnosti ali zasebnosti.

Google je po odkritju napake hitro umaknil objavo z varnostnimi podrobnostmi, vendar je informacija že zakrožila po varnostnih forumih in med raziskovalci. Podjetje je potrdilo, da ekipa intenzivno dela na varnostnem popravku in napovedalo pospešeno izdajo posodobitve.

Uporabnikom Chromium in brskalnikov, ki temeljijo na njem – vključno z Google Chrome, Microsoft Edge, Opera in Brave – se priporoča, da čim prej namestijo varnostno posodobitev, ko bo na voljo. Do takrat strokovnjaki svetujejo dodatno previdnost pri obiskovanju neznanih spletnih strani in uporabo razširitev za blokiranje skript, kot je uBlock Origin ali NoScript.

Incident ponovno odpira vprašanja o Googlovih notranjih procesih upravljanja ranljivosti ter poudarja pomen koordiniranega razkrivanja varnostnih težav v odprto-kodni programski opremi.


Vir: https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/
Originalna objava: 2026-05-21
Članek je pripravljen na osnovi tujega vira s pomočjo AI in prilagojen za slovenskega bralca.

Deli z drugimi:

Leave a Reply