Ви нічого не бачили: Google випадково розкрила й спробувала приховати багаторічну вразливість Chromium

Google недавно опубликовала, а затем быстро скрыла информацию о серьезной многолетней уязвимости Chromium.

Уязвимость была впервые обнаружена еще в 2022 году и до сих пор не исправлена. По словам исследовательницы Лиры Ребане, которая первой обнаружила ее, Google скрыла отчет об ошибке, даже не проведя тщательной проверки относительно влияния уязвимости на безопасность веб-браузера.

Ребане объясняет, что уязвимость связана с API фоновой загрузки Chromium, который может запускать Service Worker после посещения пользователем опасных страниц. Google объясняет, что Service Worker представляет специализированные компоненты JavaScript, которые выполняют роль посредников между веб-браузерами и серверами, обеспечивая повышенную надежность за счет работы в автономном режиме и более быстрой загрузки страниц.

Обнаруженная исследовательницей ошибка в коде приводила к тому, что Service Worker продолжал работать даже после перезагрузки устройства или браузера. Сам по себе Service Worker не представляет опасности, однако его можно использовать для отслеживания активности пользователей в сети с помощью временных меток, журналов IP-адресов и других телеметрических данных.

Еще большую опасность представляет то, что Service Worker может запускать вредоносные программы, которые хранятся удаленно, использоваться в атаках типа «отказ в обслуживании» против определенных целей и быть добавленным в распределенную сеть ботов с ограниченными вредоносными возможностями. Ребане отмечает, что случайно раскрытый Google код может сделать использование этой уязвимости относительно простым.

Однако для превращения уязвимости в оружие с помощью сети ботов все равно необходимы определенные технические усилия и навыки. После отчета Ребане Google не предприняла никаких действий в течение 4 лет, прежде чем случайно раскрыла информацию об уязвимости.

Разработчики Chrome быстро скрыли отчет, однако страница уже была заархивирована и остается доступной вместе с кодом PoC, опубликованным Ребане. Сначала исследовательница была убеждена, что информация об уязвимости стала публичной и в Google исправили ошибку, однако она быстро выяснила, что это не так.

Создание Service Worker будет сопровождаться появлением диалогового окна вGoogle Chrome, тогда как в Microsoft Edge то же самое будет происходить без предупреждения пользователя. Поскольку Mozilla Firefox и Apple Safari не поддерживают Fetch API, эта проблема, вероятно, их не коснется.