Chromium divulgou exploit supostamente corrigido 4 anos depois, mas ele ainda estava sem correção

• A vulnerabilidade em navegadores baseados em Chromium, descoberta em 2022, podia transformar o navegador em um membro permanente de uma botnet em JavaScript sem interação do usuário
• No Microsoft Edge, a conexão C2 e a execução de JavaScript podiam continuar mesmo após fechar o navegador, sem sinais perceptíveis
• O issue do Chromium foi divulgado quase 4 anos depois, mas logo após a divulgação foi confirmado que ainda funcionava, e por isso voltou a ficar privado
• Atualmente, no Edge, nem o menu de download aparece mais, o que permite RCE silenciosa em JavaScript com apenas a visita a um único site
• Não é possível mitigar com filtros do uBlock; no NoScript, é possível bloquear desativando o JavaScript ou o Service Worker da página

Divulgação e nova ocultação da vulnerabilidade em navegadores baseados em Chromium

• O bug descoberto por Rebane em 2022 podia transformar qualquer navegador baseado em Chromium em um membro permanente de uma botnet em JavaScript sem interação do usuário
• No Microsoft Edge, a conexão C2 e a execução de JavaScript podiam continuar mesmo após o usuário fechar o navegador, sem que ele percebesse sinais anormais
• O issue relacionado no Chromium foi divulgado quase 4 anos depois em issues.chromium.org/issues/40062121
• Logo após a divulgação, foi confirmado que o problema não havia sido corrigido adequadamente e ainda funcionava
• Depois disso, o issue voltou a ficar privado

Impacto atualmente confirmado

• No Edge, o menu de download não aparece mais, o que confirmou que é possível obter RCE totalmente silenciosa em JavaScript com apenas a visita a um único site
• O JavaScript executado pode continuar rodando mesmo depois de o navegador ser fechado
• O texto original incluía um vídeo de demonstração, mas não divulgava procedimentos detalhados de reprodução em texto
• Em citação da Ars Technica, Brave, Opera, Vivaldi e Arc também são mencionados como navegadores vulneráveis

Possibilidades de mitigação

• Não é possível mitigar essa vulnerabilidade com filtros do uBlock
• No NoScript, é possível mitigar desativando o JavaScript ou o Service Worker nessa página
• Um usuário sugeriu uma abordagem em que o uBlock Origin baseado em Manifest v2 injeta uma política CSP para definir worker-src 'none'
  • uBlock Origin Static filter syntax: CSP
  • Como exemplo, foi citado o formato ||$csp=worker-src 'none', propondo uma abordagem para desativar globalmente o Service Worker
• Não está claro se esse método pode quebrar extensões que usam Service Worker, nem se uma extensão pode injetar cabeçalhos CSP em outra extensão
• Também foi compartilhada uma forma de desativar o Service Worker em navegadores baseados em Chromium com uBlock
  • How to disable Service Workers on Chromium based browsers through uBlock

Questões em aberto e histórico da divulgação

• Algumas respostas mencionaram “Background fetch”, mas no texto original não fica claramente confirmado como esse recurso se relaciona com a vulnerabilidade
• Não há resposta clara sobre se o processo de Service Worker permanece no Edge mesmo sem o processo principal do navegador, nem se desativar a execução em segundo plano do Edge impediria a execução após o fechamento do navegador
• Um usuário apontou o comment56 do issue do Chromium e disse que a divulgação partiu do lado do Chromium
• O issue divulgado depois voltou a ser definido como privado, e alguns usuários mencionaram que há arquivos salvos em archive.today, archive.is e archive.ph