Chromium a rendu public un exploit corrigé quatre ans plus tard, mais il s’est avéré en réalité non corrigé

• Une vulnérabilité des navigateurs basés sur Chromium, découverte en 2022, pouvait transformer un navigateur en membre persistant d’un botnet JavaScript sans interaction de l’utilisateur
• Dans Microsoft Edge, la connexion C2 et l’exécution de JavaScript pouvaient être maintenues même après la fermeture du navigateur, sans signe visible pour l’utilisateur
• Ce ticket Chromium a été rendu public près de 4 ans plus tard, mais il a été confirmé juste après sa publication qu’il fonctionnait toujours, avant d’être remis en privé
• Il est désormais confirmé que, dans Edge, même le menu de téléchargement n’apparaît plus, rendant possible une RCE JavaScript silencieuse via la simple visite d’un seul site web
• Une atténuation via les filtres uBlock est impossible, tandis que NoScript peut bloquer le problème en désactivant JavaScript ou le Service Worker sur la page concernée

Publication puis remise en privé d’une vulnérabilité des navigateurs basés sur Chromium

• Le bug découvert par Rebane en 2022 pouvait faire de n’importe quel navigateur basé sur Chromium un membre persistant d’un botnet JavaScript sans interaction de l’utilisateur
• Dans Microsoft Edge, la connexion C2 et l’exécution de JavaScript pouvaient continuer même après la fermeture du navigateur, sans que l’utilisateur ne remarque quoi que ce soit d’anormal
• Le ticket Chromium associé a été rendu public près de 4 ans plus tard sur issues.chromium.org/issues/40062121
• Immédiatement après cette publication, il a été confirmé que le problème n’avait pas été correctement corrigé et qu’il fonctionnait toujours
• Le ticket a ensuite de nouveau été repassé en privé

Impact actuellement constaté

• Dans Edge, le menu de téléchargement n’apparaît même plus, ce qui confirme qu’une RCE JavaScript totalement silencieuse est possible via la simple visite d’un seul site web
• Le JavaScript exécuté peut continuer à tourner même après la fermeture du navigateur
• Le texte original incluait une vidéo de démonstration, mais ne divulguait pas de procédure de reproduction détaillée dans sa partie textuelle
• Une citation d’un article d’Ars Technica mentionne également Brave, Opera, Vivaldi, Arc comme navigateurs vulnérables

Possibilités d’atténuation

• Les filtres uBlock ne permettent pas d’atténuer cette vulnérabilité
• NoScript permet une atténuation en désactivant JavaScript ou le Service Worker sur la page concernée
• Un utilisateur a proposé qu’uBlock Origin basé sur Manifest v2 injecte une politique CSP pour définir worker-src 'none'
  • uBlock Origin Static filter syntax: CSP
  • Il a pris comme exemple la forme ||$csp=worker-src 'none', en suggérant une approche de désactivation globale des Service Workers
• On ne sait pas clairement si cette méthode pourrait casser des extensions qui utilisent des Service Workers, ni si une extension peut injecter des en-têtes CSP dans une autre extension
• Une méthode pour désactiver les Service Workers dans les navigateurs basés sur Chromium via uBlock a également été partagée
  • How to disable Service Workers on Chromium based browsers through uBlock

Questions en suspens et déroulé de la publication

• Certaines réponses mentionnaient le « Background fetch », mais la relation entre cette fonctionnalité et la vulnérabilité n’est pas clairement établie dans le texte original
• Il n’existe pas de réponse claire sur le fait que le processus Service Worker puisse rester actif dans Edge sans le processus principal du navigateur, ni sur le fait que désactiver l’exécution en arrière-plan d’Edge empêcherait l’exécution après la fermeture du navigateur
• Un utilisateur a pointé le comment56 du ticket Chromium, en indiquant que la publication venait du côté de Chromium
• Le ticket rendu public a ensuite de nouveau été basculé en privé, et certains utilisateurs ont mentionné que des archives subsistaient sur archive.today, archive.is et archive.ph