谷歌最近公开了一个在 Chromium 浏览器中发现的潜在危险漏洞。这个安全漏洞最早是在 2022 年被发现的，但至今仍未在 Chromium 的代码库中得到修复。根据四年前首次发现该漏洞的研究员 Lyra Rebane 的说法，谷歌最终“公开”了这份漏洞报告，却没有妥善评估该问题可能对整个网络安全造成的影响。

Rebane 解释说，该漏洞涉及 Chromium 的“后台获取 API”，它可以在用户访问“恶意”网页后触发一个持久化的 服务工作者。谷歌将 Service Worker 描述为一种特殊的 JavaScript 组件，充当网页浏览器和服务器之间的中介，通过离线功能和更快的页面性能来提升可靠性。

Rebane 发现的这个漏洞，连同其概念验证代码，可以创建一个即使在设备或浏览器重启后依然持续运行的 Service Worker。虽然它本身并不具备固有的危险性，但 Service Worker 可能会被滥用，通过时间戳、IP 地址日志和其他遥测数据来追踪用户的在线活动。在更严重的情况下，它可能被用来执行远程存储的恶意代码，对特定目标参与分布式拒绝服务（DDoS）攻击，甚至被整合进一个具备有限恶意功能的分布式僵尸网络中。

Rebane 表示，谷歌无意中泄露的代码可能会让利用该漏洞变得相对简单。不过，要想将这个缺陷转化为类似僵尸网络的感染，仍然需要额外的投入和足够的技术专业知识。

据悉，谷歌在 2022 年私下获知该问题后，将此漏洞定级为“P1”（第二高优先级），严重性评级为“S2”。

据报道，谷歌在长达 46 个月的时间里对 Rebane 的报告未采取任何行动，随后却出人意料地公开了漏洞详情。Chrome 的开发人员后来迅速采取行动再次关闭了该报告，但该页面连同 Rebane 的 PoC 代码早已被网络存档，目前依然可以在网上访问。

这位研究员起初以为漏洞被公开是因为谷歌终于修复了它。但后来她意识到，该概念验证代码依然有效，实际上并没有实施任何修复措施。

在 Google Chrome 浏览器中，创建 Service Worker 会触发一个下载对话框，而 Microsoft Edge 则会在不通知用户的情况下有效执行相同的行为。Mozilla Firefox 和 Apple Safari 不支持该 Fetch API，这意味着它们可能不受此特定问题的影响。