Google pubblica la risoluzione di una fix su Chrome, ma non era stata rilasciata

Una grave vulnerabilità Chromium consente a codice JavaScript di restare attivo in background anche dopo la chiusura del browser e, in alcuni casi, dopo il riavvio del dispositivo. Il problema coinvolge Chrome, Edge e altri browser basati sul motore Google. La falla, rimasta irrisolta per oltre 42 mesi, potrebbe trasformare i sistemi colpiti in nodi di una botnet JavaScript capace di instradare traffico, eseguire attività automatizzate e supportare attacchi DDoS.

Gli ingegneri di Google hanno scoperto accidentalmente i dettagli di una pericolosa vulnerabilità in Chromium rimasta irrisolta per quasi quattro anni. Il bug consente al codice JavaScript di continuare a essere eseguito in background anche dopo la chiusura del browser e, in alcuni casi, persino dopo il riavvio del dispositivo. Il problema riguarda Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc e altri browser basati su Chromium.

Verso la fine del 2022, la ricercatrice indipendente Lyra Rebane ha scoperto una vulnerabilità. Il problema riguarda l’API Background Fetch, progettata per il download in background di file di grandi dimensioni (come i video). Si è scoperto che, utilizzando un sito web appositamente creato, un utente malintenzionato può avviare un Service Worker che non termina mai e continua a essere eseguito in background.

Secondo Rehbein, questo permette al browser della vittima di diventare una sorta di “partecipante permanente a una botnet JavaScript”. JavaScript non accede a file, email o al sistema operativo stesso, ma può fare tutto ciò che può fare un browser: instradare il traffico, partecipare ad attacchi DDoS, aprire siti web e tracciare l’attività dell’utente.

La situazione è particolarmente preoccupante in Microsoft Edge. Mentre in precedenza lo sfruttamento del bug mostrava almeno una finestra di dialogo per il download, questo indicatore è scomparso nelle versioni più recenti del browser. Di conseguenza, il codice JavaScript dannoso viene eseguito praticamente inosservato.

Come si è poi scoperto, gli sviluppatori di Google avevano segnalato il problema come risolto già nel febbraio 2026, sebbene non fosse mai stata rilasciata una patch.

Per questo motivo, 14 settimane dopo, il Chromium Issue Tracker ha automaticamente rimosso le restrizioni e reso pubblico il rapporto sulla vulnerabilità, insieme a una dimostrazione pratica dell’exploit. Il rapporto è stato presto nuovamente nascosto, ma le informazioni si erano già diffuse attraverso archivi e siti di terze parti.

Rehbein osserva che sfruttare il bug è “abbastanza semplice”, sebbene la creazione di una botnet su vasta scala richiederebbe uno sforzo maggiore. Gli sviluppatori di Chromium hanno definito il problema una “grave vulnerabilità” e gli hanno assegnato una priorità P1, il secondo livello di criticità più elevato.

È interessante notare che il bug è rimasto irrisolto per oltre 42 mesi. Secondo il ricercatore, ciò è dovuto al fatto che il bug non viola i tradizionali limiti di sicurezza del browser e non fornisce accesso diretto al sistema, quindi Google potrebbe averne sottovalutato la gravità.

I rappresentanti di Google hanno confermato ai media di essere a conoscenza della pubblicazione involontaria della vulnerabilità e di essere già al lavoro per risolverla.

Sebbene non siano ancora disponibili patch, si consiglia agli utenti del browser Chromium di prestare attenzione a eventuali anomalie nel menu dei download, che potrebbero essere un segnale di una vulnerabilità sfruttata.

Luigi Zullo

Ricercatore di sicurezza informatica con esperienza nell’analisi delle vulnerabilità, nella mitigazione del rischio cyber, nelle attività di red teaming ed ethical hacking e nella protezione di sistemi complessi. Specializzato in penetration testing e Threat Intelligence, contribuisce al rafforzamento della resilienza digitale di infrastrutture e reti aziendali.

Aree di competenza: Penetration Testing, Threat Intelligence, Red Teaming, Vulnerability Assessment, Incident Response