Connue son le numéro 40062121, cette vulnérabilité de Chromium a été soumise à Google à l'été 2022. Cette faille permet de prendre le contrôle d'un navigateur basé sur Chromium et de le transformer en botnet permanent, une sorte de navigateur zombie. 

La publication de ce ticket n'aurait jamais du avoir lieu. D'ailleurs, Lyra Rebane, auteure de la découverte en 2022, avait cru à la résolution du problème. Mais rapidement, elle s'est rendue à l'évidence : la faille n'était pas fixée ! Google a vite désactivé le ticket pour le repasser en mode privé. Le code permettant l'exploitation de la faille n'était plus accessible mais il avait déjà été récupéré...

La faille vient de l'API fetch en arrière-plan qui ouvre un service worker et qui devient permanent. La connexion peut être invoquée par un code malveillant JavaScript posé sur un site web... Cette faille se retrouve sur Chrome, Edge et tous navigateurs basés sur Chromium.

Ars Technica : https://arstechnica.com/security/2026/05/google-publishes-exploit-code-threatening-millions-of-chromium-users/

La réaction de Lyra : https://infosec.exchange/@rebane2001/116606719764376414