Google a divulgué par inadvertance des informations sur une faille dans Chromium qui n’est pas corrigée. Ce problème permet à du code JavaScript de continuer à fonctionner en arrière-plan, même après la fermeture du navigateur, et il pourrait conduire à une exécution de code à distance sur l’appareil.
Un chercheur en sécurité, Lyra Rebane, a signalé cette vulnérabilité. Le projet Chromium l’a validée en décembre 2022, selon la discussion sur le Chromium Issue Tracker.
Un attaquant pourrait exploiter cette faille pour créer une page web malveillante qui utilise un Service Worker, comme une tâche de téléchargement, qui ne se termine jamais. Rebane explique que cette méthode permettrait à un attaquant d’exécuter du code JavaScript sur les appareils des visiteurs.
« Il est réaliste d’obtenir plusieurs dizaines de milliers de visites pour créer un ‘botnet’, et les personnes ne sauront pas qu’un code JavaScript peut être exécuté à distance sur leur appareil », a déclaré Rebane dans le rapport initial.
Les scénarios d’exploitation potentiels incluent l’utilisation des navigateurs compromis pour lancer des attaques par déni de service distribué (DDoS), pour faire transiter du trafic malveillant ou pour rediriger arbitrairement le trafic vers des sites spécifiques.
Cette faille affecte tous les navigateurs basés sur Chromium, comme Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi et Arc.
Une faille persistante
Le 26 octobre 2024, un développeur de Google a observé que le problème restait ouvert. Il a décrit cette faille comme une « vulnérabilité sérieuse » qui nécessitait un état des lieux « pour garantir une progression ».
Cette année, le 10 février, le problème a été marqué comme corrigé, puis il a été rouvert quelques minutes plus tard car plusieurs inquiétudes subsistaient.
Comme il s’agissait d’un problème de sécurité, les étiquettes du bug ont été modifiées pour qu’il passe par le panel du Chrome Vulnerability Rewards Program (VRP). Le problème a été marqué comme résolu le 12 février, mais un patch n’avait pas encore été diffusé.
Un email automatique a informé Rebane qu’elle recevait une prime de 1 000 dollars pour la découverte du bug.
Toutes les restrictions d’accès sur le Chromium Issue Tracker ont été supprimées le 20 mai, car le bug avait été fermé pendant plus de 14 semaines et il était marqué comme corrigé dans le système.
Le même jour, Rebane a testé la correction et elle a constaté que le problème persistait dans Chrome Dev 150 et Edge 148.
« En 2022, j’ai trouvé un bug qui me permettrait, sans aucune interaction de l’utilisateur, de transformer tout navigateur basé sur Chromium en un membre permanent d’un botnet JavaScript », a expliqué la chercheuse dans un post publié hier.
« Dans Edge, vous ne remarqueriez même rien d’anormal, et vous resteriez connecté au serveur de commande et contrôle même après fermer le navigateur. »
Après avoir observé que l’exploitation fonctionnait encore, la chercheuse a compris que Google avait probablement publié les détails par erreur.
La situation est aggravée car la fenêtre pop-up de téléchargement qui apparaissait lors de l’exploitation ne se montre plus dans la dernière version de Edge, ce qui rend l’attaque encore plus discrète.
« OH NON, JE VIENS DE COMPRENDRE QUE CE N’EST PAS CORRECTEMENT CORRIGÉ ET QUE ÇA FUNCIONNE ENCORE », a écrit Rebane sur Mastodon.
« Le problème est encore plus grave, Edge ne fait même plus apparaître le menu de téléchargement, donc c’est une exécution de code JavaScript silencieuse qui continue à fonctionner même après que vous fermez le navigateur !! tout cela après avoir visité un seul site web une fois !! »
Le problème a été rendu privé à nouveau, mais l’exposition a duré suffisamment longtemps pour que les informations soient divulguées.
Rebane a indiqué à Ars Technica que l’exposition par Google rendrait l’exploitation « assez facile », mais créer un botnet important reste plus complexe.
Elle a aussi précisé que ce bug ne contourne pas les limites de sécurité du navigateur et il ne donne pas aux attaquants un accès aux emails, aux fichiers ou au système d’exploitation de la victime.
Compte tenu de la divulgation des détails de la faille, le risque pour un grand nombre d’utilisateurs est significatif. Google devrait probablement considérer ce problème comme urgent et publier des corrections d’urgence rapidement.
BleepingComputer a contacté Google pour obtenir un commentaire sur cette exposition, mais aucune réponse n’a été obtenue avant la publication.