Google случайно раскрыла детали неисправленной уязвимости Chromium

Компания Google случайно раскрыла информацию о еще не исправленной проблеме в Chromium, из-за которой JavaScript продолжает выполняться в фоновом режиме даже после закрытия браузера, что позволяет добиться удаленного выполнения кода на устройстве.

Уязвимость была обнаружена исследователем безопасности Лира Ребейн (Lyra Rebane) и признана действительной в декабре 2022 года, о чем свидетельствует обсуждение в Chromium Issue Tracker.

Злоумышленник может использовать эту проблему для создания вредоносной веб-страницы с Service Worker, например задачей загрузки, которая никогда не завершается. Это позволяет атакующему выполнять JavaScript-код на устройствах посетителей.

Лира Ребейн заявила в отчете о проблеме:

Вполне можно получить десятки тысяч просмотров страниц для создания ботнета, и пользователи не будут осознавать, что на их устройстве может удаленно выполняться JavaScript-код.

Среди возможных сценариев эксплуатации называются использование скомпрометированных браузеров для проведения распределенных DDoS-атак, проксирования вредоносного трафика и произвольного перенаправления трафика на целевые сайты.

Проблема затрагивает все браузеры на базе Chromium, включая Google Chrome, Microsoft Edge, Opera и другие.

Проблема сохраняется

26 октября 2024 года разработчик Google заметил, что проблема все еще остается открытой, и назвал ее «серьезной уязвимостью», требующей обновления статуса, чтобы убедиться в наличии прогресса.

В этом году, 10 февраля, проблема была помечена как исправленная, однако спустя несколько минут статус был снова изменен из-за ряда замечаний.

Поскольку речь шла о проблеме безопасности, метки ошибки были обновлены для передачи в программу вознаграждений за уязвимости Chrome Vulnerability Rewards Program (VRP). После этого 12 февраля проблема была отмечена как исправленная, несмотря на то что патч еще не был выпущен.

Автоматическое письмо уведомило Ребейн о начислении вознаграждения в размере 1000 долларов за найденную ошибку.

20 мая все ограничения доступа к Chromium Issue Tracker были сняты, поскольку ошибка оставалась закрытой более 14 недель и в системе значилась исправленной.

В тот же день Ребейн протестировала исправление и обнаружила, что проблема все еще присутствует в Chrome Dev 150 и Edge 148.

Она написала:

Еще в 2022 году я обнаружила ошибку, которая позволяла без какого-либо взаимодействия с пользователем превратить любой браузер на базе Chromium в постоянного участника JS-ботнета.

В Edge вы бы даже не заметили ничего необычного и оставались бы подключены к серверу управления и контроля (C2) даже после закрытия браузера.

После того как исследователь убедилась, что эксплойт все еще работает, она пришла к выводу, что Google, вероятно, случайно опубликовал детали уязвимости. Ситуацию усугубляет то, что всплывающее окно загрузки, которое ранее появлялось при запуске эксплойта, больше не отображается в последних версиях Microsoft Edge, из-за чего эксплуатация стала еще более скрытной.

Ребейн написала:

Я поняла, что на самом деле проблема не исправлена и остается актуальной. Что еще хуже — Edge больше даже не показывает меню загрузки, так что это полностью бесшумное удаленное выполнение JS-кода, которое продолжает работать даже после закрытия браузера! И для эксплуатации достаточно однократного посещения сайта!

Хотя позже проблема снова была переведена в приватный режим, информация оставалась доступной достаточно долго, чтобы успеть распространиться.

В разговоре с Ars Technica Ребейн заявила, что утечка информации со стороны Google сделает эксплуатацию «довольно простой», хотя масштабирование атаки до крупного ботнета значительно сложнее. Она также уточнила, что ошибка не позволяет обходить границы безопасности браузера и не дает злоумышленникам доступ к электронной почте пользователя, файлам или ОС хоста.

Поскольку детали уязвимости уже утекли, риск для большого числа пользователей является значительным, и Google, скорее всего, отнесется к ситуации как к критической, выпустив экстренные исправления в ближайшее время.