Falha em navegadores – Pesquisadores da área de segurança digital chamaram atenção nesta semana para uma vulnerabilidade relevante no Chromium que permite a continuidade da execução de scripts JavaScript mesmo depois que o navegador é fechado. O problema afeta plataformas como Google Chrome, Microsoft Edge, Brave e outros navegadores construídos sobre a mesma base tecnológica.
A falha foi identificada pela pesquisadora Lyra Rebane em 2022, porém detalhes técnicos do caso acabaram sendo divulgados antes da disponibilização de uma correção definitiva.
LEIA: Papa Leão XIV pede perdão por escravidão e relaciona a riscos da era digital
Service Workers são usados para manter scripts em execução
A vulnerabilidade está relacionada ao recurso conhecido como Service Worker. A tecnologia é amplamente utilizada em sites modernos para funções executadas em segundo plano, incluindo notificações, sincronização de informações e suporte offline.
Segundo os pesquisadores, o problema permite que páginas maliciosas abusem desse mecanismo para manter scripts ativos mesmo após o encerramento do navegador pelo usuário.
Na prática, bastaria acessar um site comprometido para que o navegador passasse a atuar como um cliente conectado à infraestrutura controlada pelos invasores. Rebane explicou que o processo poderia permanecer ativo silenciosamente, sem necessidade de qualquer nova interação da vítima.
Ataque não compromete totalmente o computador
Embora a vulnerabilidade não permita controle direto sobre o sistema operacional nem acesso automático a arquivos pessoais, ela possibilita a execução remota de JavaScript dentro do ambiente do navegador.
Isso abre margem para diferentes tipos de abuso, como participação em botnets, geração de tráfego malicioso e ataques distribuídos de negação de serviço (DDoS).
A pesquisadora afirmou que milhares de navegadores comprometidos poderiam ser utilizados para disparar grandes volumes de requisições simultâneas contra servidores e serviços online. Além disso, o navegador infectado poderia servir como intermediário para esconder atividades maliciosas e dificultar a identificação da origem real dos ataques.
Google marcou vulnerabilidade como resolvida antes da correção final
O caso ganhou repercussão adicional porque o problema já havia sido classificado internamente como corrigido pela equipe responsável pelo Chromium.
Em fevereiro deste ano, o relatório recebeu o status de “fixed” no sistema do projeto. Rebane chegou a receber uma recompensa de mil dólares por meio do programa de bugs do Google.
A situação se complicou quando as restrições de acesso ao relatório técnico foram removidas automaticamente. Como o sistema entendia que a falha estava solucionada havia mais de 14 semanas, os detalhes internos da vulnerabilidade acabaram ficando temporariamente acessíveis ao público.
Exploit ainda funcionava em versões recentes
Após a divulgação parcial das informações, Rebane decidiu testar novamente o exploit em versões atualizadas do Chrome e do Edge. Os testes mostraram que a vulnerabilidade seguia funcionando normalmente.
De acordo com a pesquisadora, o comportamento do exploit se tornou ainda mais discreto nas versões recentes do Edge.
Em edições anteriores do navegador, a exploração gerava um popup de download durante a execução. Agora, segundo ela, o funcionamento ocorre de maneira totalmente silenciosa, reduzindo significativamente as chances de o usuário perceber qualquer atividade suspeita.
Navegadores baseados em Chromium também podem ser impactados
O problema não se restringe ao Chrome e ao Edge. Outros navegadores que utilizam Chromium como base — incluindo Opera, Vivaldi e Arc — também podem ser afetados pela vulnerabilidade.
Especialistas ressaltam que o bug não rompe completamente as barreiras de sandbox do navegador, o que impede que o invasor obtenha controle total da máquina da vítima. Ainda assim, a capacidade de manter JavaScript ativo de forma persistente é considerada um cenário incomum e potencialmente perigoso para operações maliciosas em larga escala.
Correção emergencial é aguardada
Após a exposição pública do caso, a expectativa é que o Google trate a vulnerabilidade com prioridade máxima.
Como os detalhes técnicos permaneceram acessíveis por tempo suficiente para análise, especialistas demonstram preocupação com a possibilidade de que outros grupos tentem reproduzir o exploit antes que uma atualização definitiva seja distribuída.
Junte cashback e transfira para sua conta com a Benefícios Rede Bee!
A Bee Fenati – a rede social dos profissionais de TI de todo o Brasil – segue em expansão para garantir aos seus usuários cada vez mais benefícios. Agora a plataforma conta com a Benefícios Rede Bee, que reúne descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poderá ser transferido direto para sua conta!
Baixe o aplicativo nas lojas App Store e Google Store e aproveite agora! A Bee Fenati reúne em um único ambiente ofertas em áreas como educação, compras, viagens, lazer, serviços, tecnologia e muito mais. Dentre as marcas parceiras estão Magalu, Renner, Drogasil, C&A, Dell, Casas Bahia, Vivo, Petz, Drogaria São Paulo, e muito mais!
Além de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os usuários da plataforma receberão de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.
Este valor ficará em uma carteira digital dentro da plataforma da Benefícios Rede Bee e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode transferir o dinheiro direto para sua conta bancária!
Na prática, a ferramenta permitirá que sócios e contribuintes dos sindicatos filiados à Fenati (Federação Nacional dos Trabalhadores em Tecnologia da Informação) possam ZERAR o valor da sua contribuição assistencial e associativa!
Atualmente, o valor da contribuição é de R$ 32,50 por mês para sócios e R$ 35 por mês para contribuintes, ou seja, é possível recuperar todo esse valor e ainda acumular muito mais – tudo isso contribuindo para fortalecer a categoria e transformando as compras e serviços do cotidiano em ganho real.
(Com informações de TecMundo)
(Foto: Reprodução/Magnific/pvproductions)
