🗓️ Contexte

Source : BleepingComputer, publié le 21 mai 2026. La chercheuse en sécurité Lyra Rebane a découvert en 2022 une vulnérabilité dans Chromium permettant à du JavaScript de continuer à s’exécuter après la fermeture du navigateur via un Service Worker malveillant. La faille a été signalée et reconnue valide par Google en décembre 2022.

🔍 Nature de la vulnérabilité

La faille repose sur la création d’une page web malveillante avec un Service Worker (ex : une tâche de téléchargement) qui ne se termine jamais. Cela permet à un attaquant d’exécuter du code JavaScript à distance sur l’appareil de tout visiteur, sans interaction utilisateur.

Scénarios d’exploitation identifiés :

  • Lancement d’attaques DDoS distribuées via des navigateurs compromis
  • Proxying de trafic malveillant
  • Redirection arbitraire de trafic vers des sites cibles
  • Constitution d’un botnet JS à grande échelle

🌐 Périmètre d’impact

Tous les navigateurs basés sur Chromium sont affectés :

  • Google Chrome
  • Microsoft Edge
  • Brave
  • Opera
  • Vivaldi
  • Arc

⚠️ Chronologie des événements

  • Décembre 2022 : Faille signalée et reconnue valide
  • 26 octobre 2024 : Un développeur Google la qualifie de « vulnérabilité sérieuse » nécessitant une mise à jour de statut
  • 10 février 2026 : Marquée comme corrigée, puis rouverte quelques minutes plus tard
  • 12 février 2026 : Marquée à nouveau comme corrigée dans le système (sans patch réellement déployé), bounty de 1 000 $ attribué à Rebane
  • 20 mai 2026 : Toutes les restrictions d’accès sur le Chromium Issue Tracker sont levées automatiquement (bug fermé depuis plus de 14 semaines)
  • 20 mai 2026 : Rebane teste et confirme que la faille est toujours présente dans Chrome Dev 150 et Edge 148

🔇 Aggravation dans Microsoft Edge

Dans les dernières versions d’Edge, la pop-up de téléchargement qui apparaissait lors du déclenchement de l’exploit n’apparaît plus, rendant l’exploitation totalement silencieuse. La connexion au C2 persiste même après fermeture du navigateur.

🔒 Limites de la vulnérabilité

La faille ne contourne pas les frontières de sécurité du navigateur et ne donne pas accès aux emails, fichiers ou au système d’exploitation hôte de la victime.

📰 Type d’article

Article de presse spécialisée relatant une divulgation accidentelle de vulnérabilité non corrigée, combinant rapport d’incident et alerte de sécurité à destination de la communauté CTI et des équipes de sécurité.

🧠 TTPs et IOCs détectés

TTP

  • T1189 — Drive-by Compromise (Initial Access)
  • T1059.007 — Command and Scripting Interpreter: JavaScript (Execution)
  • T1583.006 — Acquire Infrastructure: Web Services (Resource Development)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1499 — Endpoint Denial of Service (Impact)

🟡 Indice de vérification factuelle : 60/100 (moyenne)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 11888 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/