Googleが致命的ミス!? 未修正のChromium脆弱性コードを公開し数百万人が危機に

📰 ニュース概要

• Googleが未修正の脆弱性コードを公開: Chromiumコードベースに存在する、未解決の脆弱性を悪用できる実証コード（PoC）を誤って公開した。
• 数百万ユーザーに影響: Chrome、Microsoft Edgeなど、ほぼ全てのChromiumベースのブラウザを使用するユーザーが標的となる可能性がある。
• 29ヶ月間の放置: この脆弱性は2022年末に独立した研究者によって報告されていたが、現在まで修正されずに残っていた。

💡 重要なポイント

• Browser Fetch APIの悪用: 大容量ファイルのバックグラウンドダウンロードに使用される標準規格を悪用し、ユーザーのブラウジング監視やプロキシ化が可能になる。
• ボットネット化のリスク: 悪用されるとデバイスが限定的なバックドアとなり、匿名プロキシやDDoS攻撃の踏み台として利用される恐れがある。
• 持続的な接続: ブラウザやデバイスを再起動しても、悪意のある接続が維持または再開されるという極めて厄介な性質を持つ。

🦈 サメの眼（キュレーターの視点）

Googleが修正前に悪用コードを自らネットの海に放流するなんて、前代未聞の事態だサメ！

特に「Browser Fetch API」という、普段我々が恩恵を受けている標準機能を逆手に取った実装が非常に具体的で、攻撃者にとっての「使い勝手」が良すぎるのが問題だサメ。リサーチによれば、このコードを使えば数百万台のデバイスを一つのネットワークにまとめ上げることも可能だというから、背筋が凍るサメ。既存の「ブラウザを閉じれば安全」という常識が通用せず、再起動後もバックドアが生き残る執念深さが、このニュースの最も画期的（最悪）なポイントだサメ！

🚀 これからどうなる？

Googleは投稿を削除したが、既にアーカイブされて拡散しているため、攻撃者がこのコードを改良して大規模なボットネットを構築するリスクが高まっているサメ。Chromium開発チームは最優先でパッチを配布する必要があるが、全ユーザーに浸透するまでは「怪しいサイト」を絶対に踏まない警戒が必要だサメ。

💬 はるサメ視点の一言

ネットの海を泳ぐ時は、最新のパッチという浮き輪を忘れるなサメ！Googleもしっかり戸締まりするサメ！🦈🔥

📚 用語解説

• Chromium: Googleが開発するオープンソースのブラウザプロジェクト。ChromeやEdgeの基盤となっている。

• Browser Fetch API: ブラウザがリソースを取得するための最新インターフェース。大きなファイルのバックグラウンド処理などに使われる。

• DDoS攻撃: 多数のデバイスから特定のサーバーへ一斉にアクセスし、過負荷をかけてサービスを停止させる攻撃手法。

• 情報元: Google published exploit code for an unfixed Chromium bug