Chromium publicó un exploit corregido cuatro años después, pero en realidad seguía sin corregirse

• La vulnerabilidad en navegadores basados en Chromium descubierta en 2022 podía convertir cualquier navegador en un miembro persistente de una botnet de JavaScript sin interacción del usuario
• En Microsoft Edge, la conexión C2 y la ejecución de JavaScript podían mantenerse incluso después de cerrar el navegador, sin señales visibles para el usuario
• El issue de Chromium se hizo público casi 4 años después, pero se confirmó que seguía funcionando justo después de su publicación, por lo que volvió a quedar privado
• Actualmente, en Edge ya ni siquiera aparece el menú de descarga, así que se confirmó que es posible una RCE silenciosa en JavaScript con solo visitar un único sitio web
• No es posible mitigarlo con filtros de uBlock, pero NoScript puede bloquearlo desactivando JavaScript o el Service Worker en esa página

Publicación y nueva privatización de una vulnerabilidad en navegadores basados en Chromium

• El bug descubierto por Rebane en 2022 podía convertir cualquier navegador basado en Chromium en un miembro persistente de una botnet de JavaScript sin interacción del usuario
• En Microsoft Edge, la conexión C2 y la ejecución de JavaScript podían mantenerse incluso después de que el usuario cerrara el navegador, sin que este notara nada extraño
• El issue relacionado de Chromium se publicó casi 4 años después en issues.chromium.org/issues/40062121
• Poco después de su publicación, se confirmó que el problema no había sido corregido correctamente y que seguía funcionando
• Después, el issue volvió a marcarse como privado

Impacto confirmado actualmente

• Se confirmó que en Edge ya ni siquiera aparece el menú de descarga, por lo que es posible una RCE completamente silenciosa en JavaScript con solo visitar un único sitio web
• El JavaScript ejecutado puede seguir corriendo incluso después de cerrar el navegador
• El artículo original incluía un video de demostración, pero en el texto no se publicaron pasos concretos de reproducción
• En una cita del artículo de Ars Technica, también se menciona a Brave, Opera, Vivaldi y Arc como navegadores vulnerables

Posibilidades de mitigación

• No es posible mitigar esta vulnerabilidad con filtros de uBlock
• NoScript puede mitigarla si se desactiva JavaScript o el Service Worker en esa página
• Un usuario propuso que uBlock Origin basado en Manifest v2 inyecte una política CSP para establecer worker-src 'none'
  • uBlock Origin Static filter syntax: CSP
  • Como ejemplo, mencionó una forma como ||$csp=worker-src 'none', proponiendo un enfoque para desactivar globalmente los Service Worker
• No está claro si este método podría romper extensiones que usan Service Worker, ni si una extensión puede inyectar encabezados CSP en otra extensión
• También se compartió una forma de desactivar Service Worker con uBlock en navegadores basados en Chromium
  • How to disable Service Workers on Chromium based browsers through uBlock

Preguntas pendientes y cómo se hizo público

• Algunas respuestas mencionan “Background fetch”, pero en el texto original no queda claramente confirmada la relación entre esa función y la vulnerabilidad
• No hay una respuesta clara sobre si el proceso de Service Worker puede permanecer en Edge incluso sin el proceso principal del navegador, ni sobre si desactivar la ejecución en segundo plano de Edge impediría la ejecución tras cerrar el navegador
• Un usuario señaló el comment56 del issue de Chromium y mencionó que la publicación había venido del lado de Chromium
• El issue publicado volvió a marcarse como privado después, y algunos usuarios comentaron que quedaron archivos en archive.today, archive.is y archive.ph