3年以上前に報告され、いまだに適切に修正されていないとされるこの脆弱性により、攻撃者はブラウザーの再起動を通じてJavaScriptを実行できます。
Google Chrome、Microsoft Edge、Operaなど多くのブラウザーの基盤となるオープンソースブラウザーであるChromiumには、攻撃者がJavaScriptコードをブラウザーの再起動を通じて永続的に実行できるパッチが未適用の脆弱性が含まれています。その結果、この脆弱性はユーザーのブラウザーを分散型サービス拒否攻撃に利用したり、暗号マイナーを実行したりするために悪用される可能性があります。
この脆弱性は独立系研究者のLyra Rebaneによって3年以上前に報告されており、修正されていません。少なくともその一部は修正されていません。バグレポートは今週公開されましたが、RebaneがMastodonで報告した後に再度クローズされました。この脆弱性がいまだに適切に修正されていないとのことです。
技術的な詳細を含むバグトラッカーエントリーは十分な期間アクセス可能でした。ユーザーによってアーカイブされており、元のエントリーは再度プライベートに設定されましたが、オンラインで簡単に見つけることができます。
この脆弱性はService Worker機能とBackground Fetch APIを悪用しています。このAPIはビデオなどのダウンロードをバックグラウンドで開始することを可能にします。この機能は2018年に導入され、Googleはその時点で次のように述べています:
「ユーザーがステップ1の後でサイトのページを閉じても問題ありません。ダウンロードは継続します。フェッチは高い可視性を持ち、簡単に中止できるため、長すぎるバックグラウンド同期タスクに関するプライバシーの懸念はありません。Service Workerが常に実行されていないため、バックグラウンドでビットコインをマイニングするなどのシステム濫用の懸念はありません。」
Rabaneは、少なくともすべてのプラットフォーム、またはすべてのChromiumベースのブラウザーで、これらの約束のどちらもが成立していないことを発見しました。たとえば、当時の2022年12月の安定版Google Chromeでは、ダウンロードはダウンロードバーに表示されていました。しかし新しいUIを導入したカナリア版では、ダウンロードは0Bで停止しているグリッチのように見え、ソースが表示されていませんでした。
Microsoft Edgeでは、ダウンロードのドロップダウンメニューが表示されましたが、その中に何も表示されませんでした。最新版では、バックグラウンドダウンロードは完全に見えず、ブラウザーが閉じられても継続します。
「一般的にService Workerは寿命が限られていますが、PoC [概念実証エクスプロイト]は、Service Workerがアクティブになると20秒ごとにバックグラウンドフェッチを作成および中止することでこれをバイパスします」とRabaneは脆弱性レポートに記述しました。「バックグラウンドフェッチが十分に高速に作成および中止される場合、ブラウザーUIに表示されませんが、Service Workerをアクティブなままにします。」
バグエントリーのコメントから、UI側の側面は2023年1月のある時点で修正されました。ただし、Service Workerをイベント間でトグルして無期限にアクティブに保つ機能には、APIの仕様を変更してService Workerの終了に対するハード時間制限を導入することを含む、より深い修正が必要でした。
悪意のあるウェブサイトがpersistent Service Workerを通じて実行できることは限定的ですが、深刻な可能性があります。persistent user tracking(Service Workerはブラウザーのオープンタイムスタンプ、IPアドレス、User-Agent情報にアクセスできるため)を含みます。
このエクスプロイトはリモートJavaScriptペイロードを実行するためにも使用でき、さまざまな方法で活用できます。将来のバグのエクスプロイト実行の可能性、サイドチャネル攻撃、またはクリプトマイナーのようなWebAssemblyペイロードを含みます。また、他のウェブサイトへのリクエストをトリガーすることも可能で、侵害されたウェブサイトがこのようにして数千のブラウザーをハイジャックする場合、分散型サービス拒否シナリオで悪用される可能性があります。
