Google犯下致命错误!? 未修复的Chromium漏洞代码公开，数百万人面临危机

📰 新闻概览

• Google意外公开未修复的漏洞代码: 错误地发布了可以利用Chromium代码库中未解决漏洞的证明代码（PoC）。
• 影响数百万用户: 使用Chrome、Microsoft Edge等几乎所有基于Chromium的浏览器的用户都有可能成为目标。
• 放置了29个月: 该漏洞在2022年底由独立研究者报告，但至今仍未修复。

💡 重要要点

• Browser Fetch API的滥用: 利用用于大文件后台下载的标准规范，可能会监视用户的浏览行为或进行代理化。
• 僵尸网络风险: 一旦被利用，设备可能成为有限的后门，作为匿名代理或DDoS攻击的跳板。
• 持续连接: 即使重启浏览器或设备，恶意连接也可能保持或重新建立，具有极其麻烦的特性。

🦈 鲨鱼的视角（策展人的观点）

Google在未修复前就将漏洞利用代码放到网络上，这简直是前所未有的事情鲨鱼！

尤其是“Browser Fetch API”，这是我们平时享受的标准功能，被攻击者如此具体地利用，实在是太方便了。研究表明，使用这段代码可以将数百万台设备聚集到一个网络中，令人不寒而栗。原本认为“关闭浏览器就安全”的常识在此失效，重启后后门依然存在，这正是本新闻最震撼（最糟糕）的地方鲨鱼！

🚀 接下来会发生什么？

虽然Google已删除了该帖子，但由于已被存档并传播，攻击者改良此代码以构建大规模僵尸网络的风险正在上升鲨鱼。Chromium开发团队需要优先发布补丁，但在所有用户更新之前，务必要谨慎，绝不要访问“可疑网站”鲨鱼。

💬 鲨鱼的一句话

在网络的海洋中游泳时，别忘了带上最新的补丁这个浮圈鲨鱼！Google也要好好锁好门鲨鱼！🦈🔥

📚 术语解释

• Chromium: Google开发的开源浏览器项目，是Chrome和Edge的基础。

• Browser Fetch API: 浏览器获取资源的最新接口，用于大文件的后台处理等。

• DDoS攻击: 从多个设备同时访问特定的服务器，造成过载并使服务停止的攻击手法。

• 信息来源: Google published exploit code for an unfixed Chromium bug