В Chromium, кодовой базе для нескольких популярных веб-браузеров, таких как Google Chrome, Microsoft Edge, Brave и Vivaldi, уже много лет существует опасная уязвимость в системе безопасности. Proof-of-concept-эксплойт ранее был доступен только разработчикам Chromium, чтобы они могли разработать патч. Однако в среду этот эксплойт был неожиданно опубликован, несмотря на то, что уязвимость до сих пор не устранена.

Как сообщает Ars Technica (откроется в новом окне), об уязвимости сообщили команде разработчиков Chromium еще в конце 2022 года. Соответствующий баг-трекер (откроется в новом окне) ранее был помечен как приватный и, таким образом, находился под замком — это обычная практика для еще не исправленных уязвимостей, которые в противном случае злоумышленники могли бы легко массово использовать.

Однако в среду баг-трекер внезапно стал общедоступным. Лайра Ребане, обнаружившая уязвимость, сначала подумала, что ошибка наконец-то была исправлена спустя все эти годы, и объявила радостную новость в Mastodon (откроется в новом окне). Но вскоре наступило разочарование: исследовательница обнаружила, что уязвимость все еще можно использовать. Баг-трекер снова стал приватным, но детали уже давно циркулируют в сети.

Армия ботнетов из веб-браузеров

Причина уязвимости, согласно данным, кроется в Background Fetch API от Chromium. Ее можно использовать, чтобы открыть в фоне постоянно активный Service Worker (откроется в новом окне) и загружать длинные видео или другие большие файлы, причем пользователь ничего не замечает.

Таким образом злоумышленники могут установить и поддерживать соединение. Чужие веб-браузеры можно таким образом включить в ботнет, чтобы использовать их, например, в качестве прокси или для совершения DoS-атак на любые онлайн-сервисы.

По словам Ребане, эксплойт работает «довольно просто». Все, что нужно для успешного использования, — это зайти на сайт, контролируемый злоумышленником, который в фоне выполняет специальный JavaScript-код. Никаких дополнительных действий от пользователя, по-видимому, не требуется.

Пользователи Edge в особой опасности

Особенно незаметной и эффективной атака должна быть в Microsoft Edge. Обычно во время атаки появляется хотя бы выпадающее меню загрузок, хотя в нем не отображаются новые элементы. Однако в Edge это выпадающее меню может вообще не появляться (откроется в новом окне). Кроме того, Edge может оставаться на связи с сервером злоумышленника в фоне, даже если браузер закрыт.

В Chrome выпадающее меню загрузок должно быть видимым, поэтому атаку там заметить легче. Так или иначе, «менее опытные пользователи, вероятно, сочтут такое поведение следствием надоедливой ошибки и не будут иметь представления о том, что их устройство скомпрометировано», — говорится в Ars Technica.

Google пока никак не прокомментировал преждевременное раскрытие уязвимости. Таким образом, пока неясно, когда именно будет доступен патч. Те, кто хочет защититься от возможных атак, должны обращать внимание на неожиданно всплывающие меню загрузок или вовсе временно отказаться от использования уязвимых браузеров (особенно Edge). В Firefox и Safari этой уязвимости, по-видимому, нет.