TokyoBlackHatNews

bleepingcomputer.com 5分で読了

Googleが未修正のChromium脆弱性の詳細を誤って公開

Image

Googleは、ブラウザが閉じられてもバックグラウンドでJavaScriptが実行し続け、デバイス上でリモートコード実行を可能にするChromiumの未修正の問題について、誤って詳細を漏らしました。

この脆弱性はセキュリティ研究者Lyra Rebaneによって報告され、Chromium Issue Trackerのスレッドに従って2022年12月に有効と認識されました。

攻撃者はこの問題を悪用して、決して終了しないService Workerを持つ悪意あるウェブページを作成できる可能性があります。Rebaneは、これにより攻撃者が訪問者のデバイス上でJavaScriptコードを実行できるようになると述べています。

The video player is currently playing an ad. You can skip the ad in 5 sec with a mouse or keyboard

「ボットネットを作成するために数万のページビューを取得することは現実的であり、人々はJavaScriptがデバイス上でリモートで実行される可能性があることに気づかないでしょう」とRebaneは元のバグレポートで述べています。

潜在的な悪用シナリオには、侵害されたブラウザを使用して分散型サービス拒否(DDoS)攻撃を開始すること、悪意あるトラフィックをプロキシすること、およびトラフィックを対象サイトに任意にリダイレクトすることが含まれます。

この問題は、Google Chrome、Microsoft Edge、Brave、Opera、Vivaldi、Arcなど、すべてのChromiumベースのブラウザに影響を与えます。

永続的なバグ

2024年10月26日、Googleの開発者は問題がまだ開かれていることに気づき、それを「深刻な脆弱性」と説明し、「進展があることを確認するため」にステータスの更新が必要だと述べました。

今年の2月10日、問題は修正済みとしてマークされ、数分後に複数の懸念のため再度開かれました。

セキュリティ問題だったため、バグのラベルは更新されてChrome Vulnerability Rewards Program(VRP)パネルを通過できるようにされ、パッチが配布されていないにもかかわらず、問題は2月12日に修正済みとしてマークされました。

自動化されたメールで、Rebaneは1,000ドルのバグ報奨金を受け取ったことが通知されました。

バグが14週間以上閉じられており、システムで修正済みとしてマークされていたため、5月20日にChromium Issue Trackerのすべてのアクセス制限が削除されました。

同じ日に、Rebaneは修正をテストし、問題がChrome Dev 150とEdge 148に依然として存在していることに気づきました。

「2022年に遡ると、ユーザーの相互作用がなくても、任意のChromiumベースのブラウザを永続的なJSボットネットメンバーに変えることができるバグを発見しました」と研究者は昨日の投稿で述べました。

「Edgeでは、何か不正な箇所に気づくこともなく、ブラウザを閉じた後もC2に接続したままになります。」

エクスプロイトが依然として機能していることに気づいた後、研究者はGoogleが誤ってその詳細を公開した可能性があることに気づきました。

さらに悪いことに、以前はエクスプロイトをトリガーする際に表示されていたダウンロードポップアップが、最新のEdgeではもはや表示されず、エクスプロイトはさらにステルス性を持つようになりました。

「あああ、これが実際には適切に修正されておらず、依然として機能していることに気づきました」とRebaneはMastodonに投稿しました

「さらに悪いことに、Edgeはもはやダウンロードメニューさえ表示しないため、ブラウザを閉じた後も実行を続ける完全にサイレントなJS RCEです!!たった1つのウェブサイトを一度訪問するだけです!!」

問題は再び非公開にされましたが、露出が長く続いて情報が漏洩しました。

RebaneはArs Technicaに、Googleの露出により悪用が「非常に簡単」になるだろうと述べました。しかし、それを大規模なボットネットにスケーリングすることはより複雑です。

彼女はまた、このバグがブラウザのセキュリティ境界をバイパスしておらず、攻撃者に被害者のメール、ファイル、またはホストOSへのアクセスを与えていないことを明確にしました。

問題の詳細が漏洩していることを考えると、多数のユーザーへのリスクは重大であり、Googleはこれを緊急案件として扱い、間もなく緊急パッチをリリースする可能性が高いです。

BleepingComputerはこの露出についてのコメントについてGoogleに連絡しましたが、出版までに回答を受け取っていません。

検証ギャップ: 自動化されたペネトレーションテストは1つの質問に答えます。6つが必要です。

自動化されたペネトレーションテストツールは実際の価値を提供しますが、1つの質問に答えるために構築されました: 攻撃者はネットワークを移動できますか?それらは、コントロールが脅威をブロックするかどうか、検出ルールが機能するかどうか、またはクラウド構成が保持されるかどうかをテストするために構築されていません。

このガイドは、実際に検証する必要がある6つのサーフェスをカバーしています。

今すぐダウンロード

翻訳元: https://www.bleepingcomputer.com/news/security/google-accidentally-exposed-details-of-unfixed-chromium-flaw/

ソース: bleepingcomputer.com
#Chrome脆弱性 #Chromium #DDoS攻撃 #JavaScriptエクスプロイト #Service Worker #ブラウザセキュリティ #ボットネット #リモートコード実行 #未修正脆弱性 #脆弱性公開

関連記事

Apple、6年間でApp Store詐欺による11億ドル以上をブロック

クリプト・ドレイナーの内部:ウォレットが空になる前に見分ける方法

最大重要度のCisco Secure Workload脆弱性がサイト管理者権限を付与