Chromium veröffentlichte einen angeblich behobenen Exploit erst vier Jahre später – tatsächlich war er noch ungepatcht

• Eine 2022 entdeckte Schwachstelle in Chromium-basierten Browsern konnte ohne Benutzerinteraktion jeden Browser dauerhaft in ein Mitglied eines JavaScript-Botnetzes verwandeln
• In Microsoft Edge konnten C2-Verbindungen und die Ausführung von JavaScript auch nach dem Schließen des Browsers ohne sichtbare Anzeichen bestehen bleiben
• Das betreffende Chromium-Issue wurde erst fast vier Jahre später veröffentlicht, stellte sich direkt nach der Veröffentlichung jedoch als weiterhin funktionsfähig heraus und wurde wieder auf nicht öffentlich gesetzt
• In Edge erscheint inzwischen nicht einmal mehr ein Download-Menü, sodass bereits der Besuch einer einzigen Website eine lautlose JavaScript-RCE ermöglichen kann
• Eine Abschwächung mit uBlock-Filtern ist nicht möglich; NoScript kann dies verhindern, indem JavaScript oder Service Worker auf der betreffenden Seite deaktiviert werden

Veröffentlichung und erneute Nichtveröffentlichung einer Schwachstelle in Chromium-basierten Browsern

• Der von Rebane 2022 entdeckte Bug konnte ohne Benutzerinteraktion jeden beliebigen Chromium-basierten Browser dauerhaft in ein Mitglied eines JavaScript-Botnetzes verwandeln
• In Microsoft Edge konnten C2-Verbindungen und die Ausführung von JavaScript auch nach dem Schließen des Browsers bestehen bleiben, ohne dass Nutzer ungewöhnliche Anzeichen bemerkten
• Das zugehörige Chromium-Issue wurde erst fast vier Jahre später unter issues.chromium.org/issues/40062121 veröffentlicht
• Unmittelbar nach der Veröffentlichung wurde bestätigt, dass das Problem nicht korrekt behoben worden war und weiterhin funktionierte
• Danach wurde das Issue erneut auf nicht öffentlich gesetzt

Derzeit bestätigte Auswirkungen

• In Edge erscheint inzwischen nicht einmal mehr ein Download-Menü, sodass bereits der Besuch einer einzigen Website eine vollständig lautlose JavaScript-RCE ermöglichen kann
• Ausgeführtes JavaScript kann auch nach dem Schließen des Browsers weiterlaufen
• Im Original ist ein Demonstrationsvideo enthalten, konkrete Schritte zur Reproduktion wurden im Text jedoch nicht veröffentlicht
• In einem zitierten Artikel von Ars Technica werden Brave, Opera, Vivaldi, Arc ebenfalls als betroffene Browser genannt

Möglichkeiten zur Abschwächung

• Mit uBlock-Filtern lässt sich diese Schwachstelle nicht abschwächen
• NoScript kann eine Abschwächung ermöglichen, wenn auf der betreffenden Seite JavaScript oder Service Worker deaktiviert werden
• Ein Nutzer schlug vor, mit Manifest-v2-basiertem uBlock Origin eine CSP-Richtlinie zu injizieren und worker-src 'none' zu setzen
  • uBlock Origin Static filter syntax: CSP
  • Als Beispiel wurde ein Format wie ||$csp=worker-src 'none' genannt und damit ein Ansatz zur globalen Deaktivierung von Service Workern vorgeschlagen
• Es ist nicht sicher, ob dieser Ansatz Erweiterungen stören kann, die Service Worker verwenden, oder ob eine Erweiterung überhaupt CSP-Header in andere Erweiterungen injizieren kann
• Es wurde auch eine Methode geteilt, wie sich Service Worker in Chromium-basierten Browsern per uBlock deaktivieren lassen
  • How to disable Service Workers on Chromium based browsers through uBlock

Offene Fragen und Hintergrund der Veröffentlichung

• Einige Antworten erwähnten „Background fetch“, aber im Original ist der Zusammenhang zwischen dieser Funktion und der Schwachstelle nicht eindeutig bestätigt
• Es gibt keine klare Antwort darauf, ob der Service-Worker-Prozess in Edge auch ohne den Hauptbrowser-Prozess bestehen bleibt oder ob das Deaktivieren der Hintergrundausführung in Edge die Ausführung nach dem Schließen des Browsers verhindert
• Ein Nutzer verwies auf comment56 des Chromium-Issues und erwähnte, dass die Veröffentlichung von Chromium selbst ausgegangen sei
• Das veröffentlichte Issue wurde später erneut auf nicht öffentlich gesetzt; einige Nutzer erwähnten, dass Archive auf archive.today, archive.is und archive.ph vorhanden seien