🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Google vazou acidentalmente detalhes sobre um problema não corrigido no Chromium que mantém o JavaScript em execução em segundo plano mesmo quando o navegador está fechado, permitindo a execução remota de código no dispositivo.
A falha foi relatada pela pesquisadora de segurança Lyra Rebane e reconhecida como válida em dezembro de 2022, conforme tópico no Chromium Issue Tracker.
Um invasor pode explorar o problema para criar uma página da Web maliciosa com um Service Worker, como uma tarefa de download, que nunca termina. Rebane diz que isso poderia permitir que um invasor executasse código JavaScript nos dispositivos dos visitantes.
“É realista obter dezenas de milhares de visualizações de página para criar uma ‘botnet’, e as pessoas não saberão que o JavaScript pode ser executado remotamente em seus dispositivos”, diz Rebane no relatório de bug original.
Os possíveis cenários de exploração incluem o uso de navegadores comprometidos para lançar ataques distribuídos de negação de serviço (DDoS), proxy de tráfego malicioso e redirecionamento arbitrário de tráfego para sites de destino.
O problema afeta todos os navegadores baseados em Chromium, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc.
Bug persistente
Em 26 de outubro de 2024, um desenvolvedor do Google percebeu que o problema ainda estava aberto e o descreveu como uma “vulnerabilidade séria” que precisava de uma atualização de status “para garantir que houvesse progresso”.
Este ano, no dia 10 de fevereiro, o problema foi marcado como corrigido e reaberto poucos minutos depois devido a diversas preocupações.
Por se tratar de um problema de segurança, os rótulos do bug foram atualizados para que ele pudesse passar pelo painel do Chrome Vulnerability Rewards Program (VRP), e o problema foi marcado como corrigido em 12 de fevereiro, embora um patch não tenha sido enviado.
Um e-mail automático informou a Rebane que ela havia recebido uma recompensa por bug de US$ 1.000.
Todas as restrições de acesso ao Chromium Issue Tracker foram removidas no dia 20 de maio, já que o bug estava fechado há mais de 14 semanas e marcado como corrigido no sistema.
No mesmo dia, Rebane testou a correção e percebeu que o problema ainda estava presente no Chrome Dev 150 e Edge 148.
“Em 2022, encontrei um bug que me permitiria, sem interação do usuário, transformar qualquer navegador baseado em Chromium em um membro permanente da botnet JS”, disse o pesquisador em um post ontem.
“No Edge, você nem notava nada fora do lugar e permanecia conectado ao C2 mesmo depois de fechar o navegador.”
Depois de perceber que a exploração ainda funcionava, o pesquisador percebeu que o Google provavelmente publicou os detalhes por engano.
Para piorar a situação, o pop-up de download que aparecia ao acionar o exploit anteriormente não aparece mais no Edge mais recente, tornando o exploit ainda mais furtivo.
“AH, NÃO, ACABEI DE PERCEBER QUE ISSO NÃO ESTÁ CORRETAMENTE CORRIGIDO E AINDA FUNCIONA”, postou Rebane no Mastodon.
"Pior ainda, o Edge não faz mais o menu de download aparecer, então é um JS RCE completamente silencioso que continua funcionando mesmo depois que você fecha o navegador!! tudo isso apenas visitando um único site uma vez!!"
Embora o assunto tenha voltado a ser privado, a exposição durou o suficiente para que a informação vazasse.
Rebane disse à Ars Technica que a exposição do Google tornaria a exploração “muito fácil”, no entanto, escalá-la para uma grande botnet é mais complicado.
Ela também esclareceu que o bug não ultrapassa os limites de segurança do navegador e não dá aos invasores acesso aos e-mails, arquivos ou sistema operacional host da vítima.
Dado que os detalhes do problema vazaram, o risco para um grande número de usuários é significativo, e o Google provavelmente tratará isso como urgente, lançando correções emergenciais em breve.
BleepingComputer entrou em contato com o Google para comentar esta exposição, mas não recebemos resposta da publicação.
A lacuna de validação: o pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
A falha foi relatada pela pesquisadora de segurança Lyra Rebane e reconhecida como válida em dezembro de 2022, conforme tópico no Chromium Issue Tracker.
Um invasor pode explorar o problema para criar uma página da Web maliciosa com um Service Worker, como uma tarefa de download, que nunca termina. Rebane diz que isso poderia permitir que um invasor executasse código JavaScript nos dispositivos dos visitantes.
“É realista obter dezenas de milhares de visualizações de página para criar uma ‘botnet’, e as pessoas não saberão que o JavaScript pode ser executado remotamente em seus dispositivos”, diz Rebane no relatório de bug original.
Os possíveis cenários de exploração incluem o uso de navegadores comprometidos para lançar ataques distribuídos de negação de serviço (DDoS), proxy de tráfego malicioso e redirecionamento arbitrário de tráfego para sites de destino.
O problema afeta todos os navegadores baseados em Chromium, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc.
Bug persistente
Em 26 de outubro de 2024, um desenvolvedor do Google percebeu que o problema ainda estava aberto e o descreveu como uma “vulnerabilidade séria” que precisava de uma atualização de status “para garantir que houvesse progresso”.
Este ano, no dia 10 de fevereiro, o problema foi marcado como corrigido e reaberto poucos minutos depois devido a diversas preocupações.
Por se tratar de um problema de segurança, os rótulos do bug foram atualizados para que ele pudesse passar pelo painel do Chrome Vulnerability Rewards Program (VRP), e o problema foi marcado como corrigido em 12 de fevereiro, embora um patch não tenha sido enviado.
Um e-mail automático informou a Rebane que ela havia recebido uma recompensa por bug de US$ 1.000.
Todas as restrições de acesso ao Chromium Issue Tracker foram removidas no dia 20 de maio, já que o bug estava fechado há mais de 14 semanas e marcado como corrigido no sistema.
No mesmo dia, Rebane testou a correção e percebeu que o problema ainda estava presente no Chrome Dev 150 e Edge 148.
“Em 2022, encontrei um bug que me permitiria, sem interação do usuário, transformar qualquer navegador baseado em Chromium em um membro permanente da botnet JS”, disse o pesquisador em um post ontem.
“No Edge, você nem notava nada fora do lugar e permanecia conectado ao C2 mesmo depois de fechar o navegador.”
Depois de perceber que a exploração ainda funcionava, o pesquisador percebeu que o Google provavelmente publicou os detalhes por engano.
Para piorar a situação, o pop-up de download que aparecia ao acionar o exploit anteriormente não aparece mais no Edge mais recente, tornando o exploit ainda mais furtivo.
“AH, NÃO, ACABEI DE PERCEBER QUE ISSO NÃO ESTÁ CORRETAMENTE CORRIGIDO E AINDA FUNCIONA”, postou Rebane no Mastodon.
"Pior ainda, o Edge não faz mais o menu de download aparecer, então é um JS RCE completamente silencioso que continua funcionando mesmo depois que você fecha o navegador!! tudo isso apenas visitando um único site uma vez!!"
Embora o assunto tenha voltado a ser privado, a exposição durou o suficiente para que a informação vazasse.
Rebane disse à Ars Technica que a exposição do Google tornaria a exploração “muito fácil”, no entanto, escalá-la para uma grande botnet é mais complicado.
Ela também esclareceu que o bug não ultrapassa os limites de segurança do navegador e não dá aos invasores acesso aos e-mails, arquivos ou sistema operacional host da vítima.
Dado que os detalhes do problema vazaram, o risco para um grande número de usuários é significativo, e o Google provavelmente tratará isso como urgente, lançando correções emergenciais em breve.
BleepingComputer entrou em contato com o Google para comentar esta exposição, mas não recebemos resposta da publicação.
A lacuna de validação: o pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #o #google #acidentalmente #expôs #detalhes #de #uma #falha #não #corrigida #do #chromium
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário