文章总结： 谷歌公开了Chromium浏览器中一个存在42个月未修复的高危漏洞PoC利用代码，该漏洞位于BrowserFetchAPI，允许攻击者通过恶意网页创建永不终止的后台任务，将用户浏览器变为僵尸网络节点。漏洞可导致DDoS攻击、流量劫持等风险，受影响浏览器包括Chrome、Edge等。当前无官方补丁，建议通过禁用ServiceWorker或部署浏览器隔离技术缓解。 综合评分： 85 文章分类： 漏洞分析,威胁情报,WEB安全,解决方案,安全事件

Google 42个月未修复的Chromium漏洞被公开 可劫持浏览器变”僵尸节点”

FreeBuf FreeBuf

FreeBuf

2026年5月25日 18:00 上海

在小说阅读器读本章

去阅读

谷歌近日公开了Chromium代码库中一个严重未修复漏洞的概念验证（PoC）利用代码，可能导致全球数百万使用Chrome、Microsoft Edge及其他基于Chromium的浏览器用户遭受隐蔽的僵尸网络攻击。

Part01

漏洞技术细节

该漏洞最初由独立安全研究员Lyra Rebane于2022年底报告，至今42个月仍未修复。根据Chromium漏洞分类框架，该漏洞被评定为优先级1（P1）和严重性2（S2），属于高危安全问题。

漏洞存在于Browser Fetch API中，该功能原本设计用于通过Service Workers在后台持续下载视频等大文件。但Rebane发现，攻击者可滥用此机制创建永不终止的任务，持续与攻击者控制的基础设施保持通信。

利用此漏洞，攻击者能在受害者浏览器与命令控制（C2）服务器间建立隐蔽通信通道。值得注意的是，在Microsoft Edge等实现中，即使关闭浏览器或重启系统，连接仍可能持续存在。

Part02

仅需访问网页即可触发攻击

该攻击方式因操作简单而尤为危险——用户只需访问恶意或被攻陷的网站，其浏览器就会悄无声息地加入僵尸网络。Rebane在报告中指出，攻击者可通过部署含有Service Worker的恶意网页，启动永不终止的后台获取任务，从而在受害者设备上持续执行JavaScript代码。

“获取数万次页面浏览以构建’僵尸网络’完全可行，而用户根本不会察觉其设备正在远程执行JavaScript代码。”Rebane在原始报告中强调。

虽然受浏览器沙箱限制，该漏洞仍具有大规模风险，潜在滥用场景包括：

分布式拒绝服务（DDoS）：操控被入侵浏览器对目标基础设施发起流量攻击

• 代理网络：通过受害者浏览器路由恶意或匿名流量
• 流量重定向：将用户悄无声息导向攻击者控制的目标
• 活动监控：有限度地追踪用户浏览行为及网络活动

Part03

漏洞修复现状与缓解措施

谷歌在发布补丁前公开利用代码的决定引发安全社区担忧。Rebane表示，虽然扩大攻击规模需要额外基础设施，但PoC代码显著降低了威胁分子的利用门槛。

Chromium问题追踪系统中，多名开发者承认该漏洞的严重性，称其为”重大安全漏洞”。

受影响平台包括：

• Google Chrome
• Microsoft Edge
• Brave Browser
• Opera
• 其他基于Chromium的浏览器

在官方补丁发布前，用户及组织可采取以下缓解措施：

• 通过企业浏览器策略限制Service Worker使用
• 如可配置则禁用后台获取功能
• 使用网络级监控检测异常出站浏览器连接
• 在企业环境中部署浏览器隔离技术

目前漏洞利用代码已公开且无补丁可用，这为企图构建大规模浏览器僵尸网络的威胁分子提供了绝佳机会窗口。

参考来源：

Google Publishes Exploit Code for Unfixed Chromium Bug Exposing Millions of Users

Google Publishes Exploit Code for Unfixed Chromium Bug Exposing Millions of Users

推荐阅读

电报讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf FreeBuf FreeBuf《Google 42个月未修复的Chromium漏洞被公开 可劫持浏览器变”僵尸节点”》