Η Google εξέθεσε κατά λάθος λεπτομέρειες κρίσιμης ευπάθειας στο Chromium — που δεν έχει διορθωθεί εδώ και 2,5 χρόνια

Η Google αποκάλυψε κατά λάθος στοιχεία για ένα αδιόρθωτο κενό ασφαλείας στον πηγαίο κώδικα του Chromium που επιτρέπει την εκτέλεση JavaScript ακόμα και αφού ο χρήστης κλείσει το πρόγραμμα πλοήγησης, ανοίγοντας δυνητικά τον δρόμο για απομακρυσμένη εκτέλεση κώδικα στη συσκευή του θύματος. Η εταιρεία δημοσίευσε — και στη συνέχεια απέσυρε γρήγορα — μια δυνητικά επικίνδυνη αναφορά σφάλματος που αφορά ευπάθεια αρχικά εντοπισμένη το 2022, η οποία παραμένει αδιόρθωτη στον κώδικα του Chromium.

Τι ακριβώς συνέβη

Σύμφωνα με την ερευνήτρια ασφαλείας Lyra Rebane, που εντόπισε πρώτη το σφάλμα πριν από τέσσερα χρόνια, η Google «άνοιξε» την αναφορά σφάλματος χωρίς να αξιολογήσει σωστά τι θα σήμαινε αυτό για τη συνολική ασφάλεια του διαδικτύου. Οι προγραμματιστές της Chrome κινήθηκαν γρήγορα για να κλείσουν ξανά την αναφορά, όμως η σελίδα είχε ήδη αρχειοθετηθεί και παραμένει προσβάσιμη online μαζί με τον κώδικα απόδειξης εκμετάλλευσης (PoC) της Rebane.

Η ευπάθεια είχε αναφερθεί από την ερευνήτρια Lyra Rebane και αναγνωριστεί ως έγκυρη τον Δεκέμβριο του 2022, βάσει του thread στο Chromium Issue Tracker. Μετά την ιδιωτική ενημέρωση το 2022, η Google το κατέταξε ως «P1» — το δεύτερο υψηλότερο επίπεδο προτεραιότητας — με βαθμολογία σοβαρότητας «S2». Ωστόσο, το σφάλμα φαίνεται να παρέμεινε στο bug tracker του Chromium για περίπου τέσσερα χρόνια χωρίς να φτάσει διόρθωση στους χρήστες.

Πώς λειτουργεί η επίθεση

Η ευπάθεια αφορά το Background Fetch API του Chromium, μια λειτουργία σχεδιασμένη για να επιτρέπει σε ιστοσελίδες να συνεχίζουν λήψεις μεγάλων αρχείων στο παρασκήνιο. Ένας εισβολέας μπορεί να εκμεταλλευτεί το πρόβλημα δημιουργώντας μια κακόβουλη ιστοσελίδα με ένα Service Worker — π.χ. μια διαδικασία λήψης — που δεν τερματίζεται ποτέ. Δεν απαιτείται εγκατάσταση κακόβουλης εφαρμογής, ύποπτο αναδυόμενο παράθυρο ή παραχώρηση δικαιωμάτων. Σε ορισμένες περιπτώσεις, αρκεί μόνο το άνοιγμα μιας ιστοσελίδας για να ενεργοποιηθεί.

Πιθανά σενάρια εκμετάλλευσης περιλαμβάνουν τη χρήση παραβιασμένων προγραμμάτων πλοήγησης για επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS), διοχέτευση κακόβουλης κίνησης μέσω αυτών, και αυθαίρετη ανακατεύθυνση επισκεψιμότητας. Η ίδια η Rebane είχε επισημάνει στην αρχική αναφορά ότι «είναι ρεαλιστικό να συγκεντρωθούν δεκάδες χιλιάδες pageviews για τη δημιουργία ενός botnet, και οι χρήστες δεν θα γνωρίζουν ότι μπορεί να εκτελεστεί JavaScript απομακρυσμένα στη συσκευή τους.»

Ποια προγράμματα πλοήγησης επηρεάζονται

Το ανοιχτού κώδικα Chromium αποτελεί τη βάση για το Google Chrome και πολλά άλλα δημοφιλή προγράμματα πλοήγησης όπως το Microsoft Edge, το Opera και το Brave. Όταν ανακαλύπτεται ένα σοβαρό κενό ασφαλείας στον κοινό κώδικα, μπορεί γρήγορα να γίνει ευρεία απειλή που επηρεάζει εκατομμύρια συσκευές σε πολλαπλές πλατφόρμες. Λόγω του ότι όλα αυτά τα προγράμματα πλοήγησης μοιράζονται τον κινητήρα του Chromium, η ευπάθεια εξαπλώνεται σε ολόκληρο το οικοσύστημα. Προγράμματα πλοήγησης που δεν υλοποιούν τη συμπεριφορά λήψης στο παρασκήνιο του Chromium φαίνεται να είναι ασφαλή.

Τα όρια της ευπάθειας

Η Rebane διευκρίνισε ότι το σφάλμα δεν παρακάμπτει τα όρια ασφαλείας του προγράμματος πλοήγησης και δεν δίνει στους εισβολείς πρόσβαση στα email, τα αρχεία ή το λειτουργικό σύστημα του θύματος. Η θεωρία της είναι ότι η ευπάθεια βρέθηκε σε μια άβολη γκρίζα ζώνη: αρκετά επικίνδυνη για να μετράει, αλλά όχι αρκετά καταστροφική ώστε να προκαλέσει άμεση δράση, επειδή δεν εκθέτει άμεσα αρχεία, κωδικούς πρόσβασης ή email.

Η Rebane δήλωσε στο Ars Technica ότι η αποκάλυψη από την Google θα κάνει την εκμετάλλευση «αρκετά εύκολη», ωστόσο η μετατροπή της σε ένα μεγάλης κλίμακας botnet παραμένει πιο πολύπλοκη.

Τι αναμένεται να γίνει

Αν και η αναφορά έγινε ξανά ιδιωτική, η έκθεση διήρκεσε αρκετά για να διαρρεύσουν οι πληροφορίες. Δεδομένου ότι οι λεπτομέρειες της ευπάθειας έχουν πλέον διαρρεύσει, ο κίνδυνος για μεγάλο αριθμό χρηστών είναι σημαντικός, και η Google πιθανότατα θα αντιμετωπίσει αυτό ως επείγον, απελευθερώνοντας σύντομα έκτακτες διορθώσεις. Η BleepingComputer επικοινώνησε με την Google για σχόλιο σχετικά με αυτή την αποκάλυψη, χωρίς να έχει λάβει απάντηση μέχρι τη στιγμή της δημοσίευσης.

Πηγές

• BleepingComputer — Google accidentally exposed details of unfixed Chromium flaw
• TechSpot — Google's accidental disclosure