SecAtor

Google случайно раскрыла подробности еще неисправленной уязвимости в Chromium, из-за которой JavaScript продолжает работать в фоновом режиме даже при закрытом браузере, что позволяет удалённо выполнять код на устройстве.

Об уязвимости сообщила исследовательница Лира Ребане. Она была признана действительной в декабре 2022 года, если верить обсуждениям на форуме Chromium Issue Tracker.

Злоумышленник может использовать уязвимость для создания вредоносной веб-страницы с использованием Service Worker, например, задачи загрузки, которая никогда не завершается, что позволит злоумышленнику выполнить код JavaScript на устройствах посетителей.

Возможные сценарии эксплуатации включают использование скомпрометированных браузеров для запуска распределенных DDoS-атак, проксирование вредоносного трафика и произвольное перенаправление трафика на целевые сайты.

Проблема затрагивает все браузеры на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Arc.

26 октября 2024 года разработчик Google заметил, что проблема всё ещё не решена, и описал её как серьёзную уязвимость, требующую обновления статуса.

В этом году, 10 февраля, проблема была отмечена как решенная, но через несколько минут её снова открыли из-за ряда проблем.

Поскольку это была проблема безопасности, метки для ошибки были обновлены для прохождения проверки в рамках программы вознаграждения за обнаружение уязвимостей Chrome (VRP). Проблема была отмечена как исправленная 12 февраля, хотя патч еще не был выпущен.

Исследовательницу уведомили через автоматическое электронное письмо о присуждении вознаграждения в размере 1000 долл. за обнаружение уязвимости.

Все ограничения доступа к системе отслеживания ошибок Chromium были сняты 20 мая, поскольку ошибка была закрыта более 14 недель назад и отмечена как исправленная.

В тот же день Ребане протестировала исправление и заметила, что проблема по-прежнему присутствует в Chrome Dev 150 и Edge 148, позволяя без какого-либо взаимодействия с пользователем превратить любой браузер на основе Chromium в часть ботнета на JavaScript.

Причем в Edge пользователь не заметил бы даже ничего необычного, а соединение с C2 оставалось бы стабильным даже после закрытия браузера.

Заметив, что уязвимость по-прежнему работает, Ребане отметила, что Google, вероятно, опубликовала и подробности по ошибке.

Ситуацию усугубляет то, что всплывающее окно загрузки, которое появлялось при активации эксплойта ранее, больше не появляется в последней версии Edge, что делает эксплойт еще более скрытным.

Ребане также заявила Ars Technica, что раскрытие информации Google сделает эксплуатацию уязвимости «довольно простой», однако масштабирование её до крупного ботнета - куда более сложная задача.

Она также уточнила, что эта ошибка не обходит границы безопасности браузера и не предоставляет злоумышленникам доступ к электронной почте, файлам жертвы или ОС.

Учитывая утечку информации по проблеме, риск следует рассматривать как значительный. Сообщество полагает, что Google, скорее всего, отнесется к этому как к срочной проблеме, выпустив в ближайшее время экстренные исправления (если опять не запутается). Будем посмотреть.