Google случайно раскрыла подробности об уязвимости в Chromium, которая до сих пор не устранена
Компания Google случайно раскрыла информацию о неустраненной проблеме в Chromium, из-за которой JavaScript продолжает работать в фоновом режиме, даже когда браузер закрыт, что позволяет удаленно выполнять код на устройстве.
Об уязвимости сообщила исследовательница в области безопасности Лира Ребейн. В декабре 2022 года уязвимость была признана реальной, о чём свидетельствует ветка в Chromium Issue Tracker.
Злоумышленник может воспользоваться этой проблемой, чтобы создать вредоносную веб-страницу с сервис-воркером, например с задачей загрузки, которая никогда не завершается. По словам Ребане, это может позволить злоумышленнику выполнять код JavaScript на устройствах посетителей.
«Вполне реально получить десятки тысяч просмотров страниц при создании “ботнета”, и люди даже не будут подозревать, что на их устройстве может быть удаленно запущен JavaScript», — пишет Ребейн в первоначальном отчете об ошибке.
Возможные сценарии использования включают использование взломанных браузеров для проведения распределенных атак типа «отказ в обслуживании» (DDoS), проксирование вредоносного трафика и произвольное перенаправление трафика на целевые сайты.
Проблема затрагивает все браузеры на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc.
Постоянная ошибка
26 октября 2024 года один из разработчиков Google заметил, что проблема всё ещё не решена, и назвал её «серьёзной уязвимостью», требующей обновления статуса, «чтобы убедиться, что работа ведётся».
В этом году, 10 февраля, проблема была помечена как решённая, но всего через несколько минут её снова открыли из-за ряда опасений.
Поскольку проблема была связана с безопасностью, метки для ошибки были обновлены, чтобы ее можно было отправить в программу Chrome Vulnerability Rewards Program (VRP). 12 февраля проблема была отмечена как решенная, хотя патч еще не был выпущен.
Автоматическое электронное письмо сообщило Ребейн, что она получила вознаграждение за обнаружение ошибки в размере 1000 долларов.
Все ограничения доступа к Chromium Issue Tracker были сняты 20 мая, поскольку ошибка не проявлялась более 14 недель и была помечена в системе как исправленная.
В тот же день Ребане протестировал исправление и заметил, что проблема по-прежнему возникает в Chrome Dev 150 и Edge 148.
«Еще в 2022 году я обнаружил ошибку, которая позволяла мне без участия пользователя превратить любой браузер на основе Chromium в постоянного участника JS-ботнета», — сказал исследователь вчера в своем посте.
«В Edge вы даже не заметите никаких изменений и останетесь на связи с C2 даже после закрытия браузера».
Заметив, что эксплойт по-прежнему работает, исследователь понял, что Google, скорее всего, опубликовала эти данные по ошибке.
Что еще хуже, всплывающее окно с предложением скачать файл, которое появлялось при использовании эксплойта ранее, больше не появляется в последней версии Edge, что делает эксплойт еще более незаметным.
«О НЕТ, Я ТОЛЬКО ЧТО ПОНЯЛ, ЧТО НА САМОМ ДЕЛЕ ЭТО НЕ ИСПРАВЛЕНО И ВСЕ РАВНО РАБОТАЕТ», — написал Ребейн в Mastodon.
«Хуже того, в Edge больше не появляется всплывающее меню загрузки, так что JS RCE работает совершенно бесшумно и продолжает работать даже после закрытия браузера !! и все это после одного посещения сайта !!»
Несмотря на то, что проблема снова стала закрытой, информация просачивалась достаточно долго, чтобы успеть просочиться в сеть.
Ребане заявил в интервью Ars Technica, что из-за уязвимости Google использовать ее «довольно просто», однако превратить ее в крупный ботнет гораздо сложнее.
Она также уточнила, что эта уязвимость не позволяет обойти средства защиты браузера и не дает злоумышленникам доступ к электронной почте, файлам или операционной системе жертвы.
Учитывая, что подробности проблемы стали достоянием общественности, риск для большого количества пользователей весьма значителен, и Google, скорее всего, отнесется к этому как к срочной необходимости и в ближайшее время выпустит экстренные исправления.
Редактор: AndreyEx
