구글(Google)이 수요일(현지시각) 자사 크로미움(Chromium) 브라우저 코드베이스의 미해결 취약점에 대한 익스플로잇 코드(exploit code)를 공개하여 수백만 명의 크롬(Chrome), 마이크로소프트 엣지(Microsoft Edge) 및 기타 크로미움 기반 브라우저 사용자들을 위협하고 있다. 이 취약점은 독립 연구원 리라 레바네(Lyra Rebane)가 2022년 말 구글에 비공개로 보고한 지 29개월 만에 공격 코드가 노출된 것으로 확인됐다.
해당 익스플로잇 코드는 브라우저 페치(Browser Fetch) 프로그래밍 인터페이스를 악용하며, 이를 통해 공격자는 사용자 브라우저 활동을 모니터링하고, 특정 웹사이트의 프록시(proxy) 역할을 하거나, 분산 서비스 거부(DDoS) 공격을 시작할 수 있다. 특히, 이 연결은 브라우저나 기기가 재부팅된 후에도 다시 열리거나 유지될 수 있어 지속적인 위협이 된다. 사용자가 방문하는 모든 웹사이트를 통해 악용될 수 있으며, 감염된 기기를 제한적인 봇넷(botnet)의 일부로 만들 수 있는 백도어(backdoor) 역할을 한다.
리라 레바네는 구글이 익스플로잇 코드를 조기에 공개했다고 언급했으며, 이 취약점의 심각도는 두 번째로 높은 S1 등급으로 평가되었다. 당초 구글은 취약점 수정 완료를 암시하는 게시물을 올렸으나, 실제로는 패치되지 않은 상태였고 이후 해당 게시물은 삭제되었다. 그러나 익스플로잇 코드와 함께 관련 정보는 여전히 아카이브 사이트에서 접근 가능한 상태인 것으로 알려졌다. 공격자는 이 취약점을 이용해 수천, 심지어 수백만 대의 기기를 네트워크로 묶고, 추가 취약점이 발견될 경우 이 모든 기기를 완전히 장악할 수 있는 잠재적 위험을 안고 있다.