Logo projekta Chromium. Foto: The Chromium Authors / Wikimedia Commons (public domain).
Google je slučajno izložio detalje o neispravljenom propustu u Chromiumu koji JavaScriptu omogućuje da nastavi raditi u pozadini i nakon zatvaranja preglednika, a prema opisu problema to može dovesti do udaljenog izvršavanja koda na uređaju. Riječ je o ranjivosti koju je sigurnosna istraživačica Lyra Rebane prijavila još 2022. godine, a tada je na Chromium Issue Trackeru potvrđeno da je prijava valjana.
Prema opisu bug-reporta, napadač bi mogao iskoristiti problem tako da napravi zlonamjernu stranicu s Service Workerom, primjerice zadatkom preuzimanja, koji se nikada ne završava. Rebane navodi da bi to moglo omogućiti izvršavanje JavaScript koda na uređajima posjetitelja, a u originalnoj prijavi je istaknula i mogućnost stvaranja velikog broja takvih stranica u svrhu botneta. Kao potencijalni scenariji zlouporabe spominju se DDoS napadi, posredovanje zlonamjernog prometa i preusmjeravanje prometa na ciljane stranice.
Problem utječe na sve preglednike temeljene na Chromiumu, među kojima su Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi i Arc. Na Chromium Issue Trackeru 26. listopada 2024. jedan je Googleov razvojni inženjer primijetio da je problem i dalje otvoren te ga opisao kao ozbiljnu ranjivost kojoj je potreban statusni update kako bi se osigurao napredak. Ove je godine, 10. veljače, issue označen kao riješen i nekoliko minuta kasnije ponovno otvoren zbog nekoliko zabrinutosti.
Budući da je riječ o sigurnosnom problemu, oznake su ažurirane kako bi prijava mogla proći kroz Chrome Vulnerability Rewards Program panel, a issue je 12. veljače ponovno označen kao riješen, iako zakrpa tada još nije bila isporučena. Automatska poruka obavijestila je Rebane da joj je dodijeljena nagrada od 1.000 dolara. Zatim su 20. svibnja uklonjena sva ograničenja pristupa na Chromium Issue Trackeru, jer je bug više od 14 tjedana bio zatvoren i u sustavu označen kao riješen.
Istog je dana Rebane testirala popravak i primijetila da problem i dalje postoji u Chrome Dev 150 i Edgeu 148. U objavi je navela da je Google vjerojatno slučajno objavio detalje, a nakon toga je issue ponovno postavljen kao privatan. Rebane je za Ars Technicu rekla da bi ta izloženost napad olakšala, iako je skaliranje u veliki botnet složenije. Također je pojasnila da bug ne zaobilazi sigurnosne granice preglednika i da napadačima ne daje pristup e-pošti, datotekama ni operacijskom sustavu domaćina.
Vezane vijesti
