Google случајно откри детали за нерешена ранливост во Chromium

Google случајно сподели информации за нерешен проблем во Chromium кој дозволува JavaScript да продолжи да работи во позадина дури и кога прелистувачот е затворен, што потенцијално овозможува далечинско извршување код на уредот.

Ранливоста била пријавена од безбедносниот истражувач Lyra Rebane и била потврдена како валидна во декември 2022 година, според дискусијата во Chromium Issue Tracker.

Напаѓач може да го искористи проблемот со креирање злонамерна веб-страница со Service Worker, на пример задача за преземање, која никогаш не се исклучува. Rebane наведува дека ова може да овозможи извршување JavaScript код на уредите на посетителите. „Реално е да се добијат десетици илјади прегледи за создавање ‘ботнет’, и луѓето нема да бидат свесни дека JavaScript може далечински да се извршува на нивниот уред,“ вели Rebane во оригиналниот извештај за багот.

Потенцијални сценарија за злоупотреба вклучуваат користење компромитирани прелистувачи за DDoS напади, проксирање злонамерен сообраќај и произволно пренасочување на сообраќај кон целни сајтови.

Проблемот ги засега сите прелистувачи базирани на Chromium, вклучувајќи Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc.

Перзистентен баг

На 26 октомври 2024 година, Google developer забележал дека проблемот сè уште е отворен и го опишал како „сериозна ранливост“ која бара ажурирање на статусот „за да се обезбеди напредок“.

Оваа година, на 10 февруари, проблемот бил означен како поправен, но повторно отворен неколку минути подоцна поради повеќе забелешки.

Бидејќи се работи за безбедносен проблем, етикетите биле ажурирани за да помине низ Chrome Vulnerability Rewards Program (VRP) Panel, и проблемот бил означен како поправен на 12 февруари, иако patch сè уште не бил објавен.

Автоматска е-пошта информирала дека Rebane добила bug bounty награда од 1.000 долари.

Сите ограничувања за пристап во Chromium Issue Tracker биле отстранети на 20 мај, бидејќи багот бил затворен повеќе од 14 недели и означен како фиксиран во системот.

Истиот ден, Rebane тестирала и забележала дека проблемот сè уште постои во Chrome Dev 150 и Edge 148.

„Уште во 2022 година, најдов баг кој дозволуваше, без интеракција од корисникот, било кој Chromium-базиран прелистувач да се претвори во постојан JS ботнет член,“ изјави истражувачот во објава вчера.

„Во Edge, дури и нема да забележите ништо необично, и ќе останете поврзани со C2 и по затворање на прелистувачот.“

Откако забележала дека експлоатот сè уште работи, истражувачката сфатила дека Google најверојатно ги објавил деталите по грешка.

За да биде ситуацијата уште полоша, pop-up прозорецот за преземање што претходно се појавувал при активирање на експлоатот сега повеќе не се појавува во најновата верзија на Edge, што го прави експлоатот уште потивок и поскриен.

„О НЕ, САМО СФАТИВ ДЕКА ОВА НЕ Е ВО ПРАВИЛА ФИКСИРАНО И СÈ УШТЕ РАБОТИ,“ напишала Rebane на Mastodon.

„Уште полошо, Edge повеќе дури ни не го прикажува менито за преземање, па ова е целосно тивок JS RCE што продолжува да работи дури и кога ќе го затвориш прелистувачот !! сè само од едно единствено посета на веб-страница !!“

Иако проблемот повторно бил направен приватен, изложеноста траела доволно долго за информациите да протечат.

Rebane изјавила за Ars Technica дека експонирањето од страна на Google би ја направило злоупотребата „прилично лесна“, но дека скалирањето во голем ботнет е покомплицирано.

Таа исто така појаснила дека багот не ги заобиколува безбедносните граници на прелистувачот и не им дава пристап на напаѓачите до е-поштата на жртвата, датотеките или оперативниот систем.

Со оглед на тоа што деталите за проблемот се протечени, ризикот за голем број корисници е значителен и Google најверојатно ќе го третира како итен случај, објавувајќи итни закрпи.

BleepingComputer контактираше со Google за коментар за оваа изложеност, но до моментот на објавување не добиле одговор.

Извори:

• Bleeping Computer – Google accidentally exposed details of unfixed Chromium flaw Bleeping Computer