O Google vazou acidentalmente detalhes de uma falha ainda sem correção no Chromium, que mantém o JavaScript em execução em segundo plano mesmo quando o navegador é fechado, permitindo execução remota de código no dispositivo.
A falha foi reportada pela pesquisadora de segurança Lyra Rebane e considerada válida em dezembro de 2022, segundo a discussão no Chromium Issue Tracker.
Um atacante poderia explorar o problema para criar uma página maliciosa com um Service Worker, como uma tarefa de download, que nunca é encerrada.
Rebane afirma que isso poderia permitir a execução de código JavaScript nos dispositivos dos visitantes.
“É plausível alcançar dezenas de milhares de visualizações de página para criar uma ‘botnet’, e as pessoas não perceberão que JavaScript pode ser executado remotamente em seu dispositivo”, disse Rebane no relato original do bug.
Entre os cenários possíveis de exploração estão o uso de navegadores comprometidos para lançar ataques de negação de serviço distribuída, ou DDoS, encaminhar tráfego malicioso por meio de proxies e redirecionar arbitrariamente o tráfego para sites-alvo.
O problema afeta todos os navegadores baseados em Chromium, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc.
Em 26 de outubro de 2024, um desenvolvedor do Google observou que a falha ainda estava em aberto e a descreveu como uma “vulnerabilidade grave”, que precisava de uma atualização de status “para garantir que haja progresso”.
Neste ano, em 10 de fevereiro, o problema foi marcado como corrigido e reaberto poucos minutos depois, por conta de diversas preocupações.
Como se tratava de um problema de segurança, os rótulos do bug foram atualizados para que ele passasse pelo painel do Chrome Vulnerability Rewards Program, ou VRP, e a falha foi marcada como corrigida em 12 de fevereiro, embora um patch ainda não tivesse sido distribuído.
Um e-mail automático informou Rebane de que ela havia recebido uma recompensa de bug bounty de US$ 1.000.
Todas as restrições de acesso ao Chromium Issue Tracker foram removidas em 20 de maio, já que o bug havia sido encerrado havia mais de 14 semanas e estava marcado como corrigido no sistema.
No mesmo dia, Rebane testou a correção e notou que o problema ainda estava presente no Chrome Dev 150 e no Edge 148.
“Lá em 2022, encontrei um bug que me permitiria, sem qualquer interação do usuário, transformar qualquer navegador baseado em Chromium em um membro permanente de uma botnet de JS”, disse a pesquisadora em uma publicação ontem.
“No Edge, você nem perceberia nada fora do normal e continuaria conectado ao C2 mesmo depois de fechar o navegador.”
Após perceber que o exploit ainda funcionava, a pesquisadora concluiu que o Google provavelmente havia publicado os detalhes por engano.
Para piorar, o aviso de download que aparecia ao acionar o exploit antes não surge mais no Edge mais recente, tornando a exploração ainda mais discreta.
“MEU DEUS, ACABEI DE PERCEBER QUE ISSO NÃO FOI DE FATO CORRIGIDO E AINDA FUNCIONA”, publicou Rebane no Mastodon.
“Pior ainda, o Edge nem sequer mostra mais o menu de download, então é uma execução remota de código JavaScript completamente silenciosa que continua rodando mesmo depois que você fecha o navegador !! tudo isso só por visitar um único site uma vez !!”
Embora a falha tenha voltado a ser privada, a exposição durou tempo suficiente para que as informações vazassem.
Rebane disse ao Ars Technica que a exposição feita pelo Google tornaria a exploração “bem fácil”, embora transformá-la em uma botnet em larga escala seja mais complicado.
Ela também esclareceu que o bug não contorna as barreiras de segurança do navegador e não dá aos atacantes acesso aos e-mails, arquivos ou ao sistema operacional da vítima.
Diante do vazamento dos detalhes da falha, o risco para um grande número de usuários é significativo, e o Google provavelmente tratará o caso como urgente, com a publicação de correções emergenciais em breve.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...