Chromium「已修補」漏洞四年後曝光:Service Worker 持久化背景執行仍可運作
BleepingComputer · 2026-05-21
2022 年 12 月,研究人員 Lyra Rebane 向 Chromium 回報一個允許 Service Worker 在瀏覽器關閉後繼續於背景執行的漏洞,並附上概念驗證程式碼。Google 在 2025 年 2 月 12 日將此 bug 標記為「已修補」,但 2026 年 5 月 20 日,Google 意外移除了漏洞報告的存取限制,完整的技術細節與 PoC 程式碼一時暴露在公眾視野中。
漏洞機制
攻擊者在惡意網頁中建立一個永不終止的 Service Worker(例偽裝成下載任務),使其在使用者關閉瀏覽器分頁甚至整個視窗後繼續執行 JavaScript。2026 年 5 月的測試顯示,PoC 在 Chrome Dev 150 和 Edge 148 上仍然有效,包括 Chrome、Edge、Brave、Opera、Vivaldi、Arc 在內的所有 Chromium 系瀏覽器均受影響。
Edge 的情況更糟:攻擊在 Edge 上「完全靜默」執行,連 Chrome 偶爾顯示的彈出警告都沒有。Rebane 指出漏洞讓「利用變得相當容易」,潛在應用包括 DDoS 殭屍網路、惡意流量代理、重新導向攻擊,受害者不會察覺任何異狀。
Bug 的命運
這個漏洞在 Google 的追蹤系統中存活了 46 個月,中間被標為「已修補」——但顯然沒有通過回歸測試。存取限制意外解除後,報告頁面迅速遭到重新封鎖,但 Internet Archive 與安全研究社群已留存快照。Lobsters 討論串(score: 95)中的評論指出,這類「已修補但其實沒修補」的情況在大型開源瀏覽器中並非孤例,背後是龐大 codebase 中的迴歸測試覆蓋率問題。
截至發稿,Google 未回應 BleepingComputer 的查詢,也未為此漏洞分配 CVE 編號。
Vivaldi 8.0:瀏覽器史上最大規模設計翻新,六種預設版面從頭選擇
Vivaldi Blog · 2026-05-21
Vivaldi 8.0 於 2026 年 5 月 21 日正式發布,CEO Jon von Tetzchner 稱其為「Vivaldi 瀏覽器有史以來最重大的設計翻新」。核心變化是導入統一設計系統,消除分頁列、工具列、側邊欄與內容區之間的視覺邊界,讓主題色彩無縫延伸至整個視窗。
核心改動
新版本提供六種預設版面設定供初次使用者選擇:Simple(簡潔)、Classic(傳統)、Bottom(底部分頁)、Vertical Left、Vertical Right、Auto-hide。這個改動回應了多年來新使用者對 Vivaldi 高度可自訂性卻缺乏上手引導的批評——以具體的版面選擇代替空白的設定介面,降低初次使用的認知負荷。
主題系統同步更新,加入以挪威設計美學為靈感的新預設主題,並可存取超過 7,000 個社群主題。Vivaldi 的品牌主張一貫是「不整合 AI」——這次更新的設計方向也延續這個立場,聚焦於使用者控制與可自訂性而非自動化功能。
工程趣聞背景
Vivaldi 的主要使用者群集中在重度自訂需求的進階使用者。有趣的是,Vivaldi 是少數在主流 Chromium 系瀏覽器中維護大量自訂 UI 層的瀏覽器——分頁群組、郵件客戶端、行事曆、RSS 閱讀器等功能均以 Web 技術(HTML/CSS/JS)疊加在 Chromium shell 之上,而非修改底層 C++ 程式碼。這讓 UI 迭代速度快,但也意味著每個版本都需要仔細確認 Chromium 更新不會破壞自訂層的假設。
原始來源:Vivaldi Blog