Google secara tidak sengaja membocorkan detail tentang masalah yang belum diperbaiki di Chromium yang membuat JavaScript tetap berjalan di latar belakang bahkan saat browser ditutup, sehingga memungkinkan eksekusi kode jarak jauh pada perangkat.
Cacat tersebut dilaporkan oleh peneliti keamanan Lyra Rebane dan diakui valid pada Desember 2022, sesuai dengan thread di Chromium Issue Tracker.
Penyerang dapat mengeksploitasi masalah ini untuk membuat halaman web berbahaya dengan Service Worker, seperti tugas pengunduhan, yang tidak pernah berhenti. Rebane mengatakan bahwa hal ini memungkinkan penyerang mengeksekusi kode JavaScript di perangkat pengunjung.
“Mendapatkan puluhan ribu tampilan halaman adalah hal yang realistis untuk membuat ‘botnet’, dan orang-orang tidak akan menyadari bahwa JavaScript dapat dieksekusi dari jarak jauh di perangkat mereka,” kata Rebane dalam laporan bug asli.
Skenario eksploitasi yang mungkin terjadi mencakup penggunaan browser yang telah disusupi untuk meluncurkan serangan penolakan layanan terdistribusi (DDoS), mem-proxy lalu lintas berbahaya, dan secara sewenang-wenang mengalihkan lalu lintas ke situs target.
Masalah ini berdampak pada semua browser berbasis Chromium, termasuk Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, dan Arc.
Bug yang persisten
Pada tanggal 26 Oktober 2024, pengembang Google menyadari bahwa masalah tersebut masih terbuka dan menggambarkannya sebagai “kerentanan serius” yang memerlukan pembaruan status “untuk memastikan adanya kemajuan”.
Tahun ini, pada tanggal 10 Februari, masalah tersebut ditandai sebagai telah diperbaiki dan dibuka kembali hanya beberapa menit kemudian karena beberapa kekhawatiran.
Karena ini adalah masalah keamanan, label untuk bug tersebut diperbarui sehingga dapat melewati Panel Program Vulnerability Rewards (VRP) Chrome, dan masalah tersebut ditandai sebagai telah diperbaiki pada tanggal 12 Februari, meskipun patch belum dikirimkan.
Sebuah email otomatis memberi tahu Rebane bahwa dia telah dianugerahi hadiah bug sebesar $1.000.
Semua pembatasan akses pada Chromium Issue Tracker telah dihapus pada tanggal 20 Mei, karena bug telah ditutup selama lebih dari 14 minggu dan ditandai sebagai telah diperbaiki di sistem.
Pada hari yang sama, Rebane menguji perbaikan tersebut dan menemukan bahwa masalahnya masih ada di Chrome Dev 150 dan Edge 148.
“Pada tahun 2022, saya menemukan bug yang memungkinkan saya, tanpa interaksi pengguna, mengubah browser berbasis Chromium menjadi anggota botnet JS permanen,” kata kata peneliti dalam postingan kemarin.
“Di Edge, Anda bahkan tidak akan melihat sesuatu yang aneh, dan akan tetap terhubung ke C2 bahkan setelah browser ditutup.”
Setelah menyadari bahwa eksploitasi tersebut masih berfungsi, peneliti menyadari bahwa Google kemungkinan besar tidak sengaja mempublikasikan detailnya.
Lebih buruknya lagi, pop up unduhan yang muncul saat memicu eksploitasi sebelumnya tidak lagi muncul di Edge terbaru, membuat eksploitasi menjadi lebih tersembunyi.
“OH TIDAK, SAYA BARU Sadar INI TIDAK BENAR DIPERBAIKI DAN MASIH BERFUNGSI,” memposting Rebane di Mastodon.
“Yang lebih parah lagi, Edge bahkan tidak lagi memunculkan menu unduh, jadi JS RCE benar-benar senyap dan terus berjalan bahkan setelah Anda menutup browser!! semuanya hanya dari mengunjungi satu situs web satu kali!!”
Meski isu tersebut kembali dijadikan rahasia, paparannya berlangsung cukup lama hingga informasinya bocor.
Seekor rubah kata Ars Technica bahwa paparan Google akan membuat eksploitasi menjadi “sangat mudah”, namun, memperluasnya menjadi botnet besar akan lebih rumit.
Dia juga mengklarifikasi bahwa bug tersebut tidak melewati batas keamanan browser dan tidak memberikan penyerang akses ke email, file, atau OS host korban.
Mengingat detail masalahnya telah bocor, risiko terhadap sejumlah besar pengguna sangatlah besar, dan Google kemungkinan besar akan menganggap hal ini sebagai hal yang mendesak, dan segera merilis perbaikan darurat.
BleepingComputer telah menghubungi Google untuk memberikan komentar mengenai paparan ini, namun kami belum menerima tanggapan melalui publikasi.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
