Google vaza dados de falha crítica não corrigida no Chromium

A Google divulgou involuntariamente informações sobre uma vulnerabilidade não corrigida no Chromium que mantém JavaScript em execução em segundo plano mesmo após o navegador ser fechado, permitindo execução remota de código no dispositivo. A falha foi relatada pela pesquisadora Lyra Rebane em dezembro de 2022 e reconhecida como válida na época, mas permanece sem correção definitiva.

Um atacante poderia explorar o problema criando uma página maliciosa com um Service Worker, como uma tarefa de download que nunca se encerra. Segundo Rebane, isso permitiria executar código JavaScript nos dispositivos das vítimas. “É realista obter dezenas de milhares de visualizações de página para criar uma ‘botnet’, e as pessoas não saberão que o JavaScript pode ser executado remotamente em seus dispositivos”, afirmou a pesquisadora no relatório original.

Falha afeta Chrome, Edge, Brave e outros navegadores

O problema afeta todos os navegadores baseados no Chromium, incluindo Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi e Arc. Em outubro de 2024, um desenvolvedor da Google descreveu a falha como uma “vulnerabilidade grave” que precisava de atualização. Em fevereiro deste ano, o problema foi marcado como corrigido e reaberto minutos depois devido a preocupações. No dia 12 de fevereiro, foi novamente marcado como corrigido, embora um patch não tivesse sido lançado. Um e-mail automático informou à pesquisadora que ela receberia US$ 1.000 como recompensa.

Todas as restrições de acesso ao rastreador de problemas do Chromium foram removidas no último dia 20 de maio, porque o bug havia sido fechado por mais de 14 semanas e marcado como corrigido no sistema. No mesmo dia, Rebane testou a correção e percebeu que o problema ainda estava presente no Chrome Dev 150 e no Edge 148.

Exploração ficou ainda mais silenciosa no Edge

“Em 2022, encontrei um bug que me permitia, sem interação do usuário, transformar qualquer navegador baseado em Chromium em um membro permanente de botnet JavaScript”, publicou a pesquisadora. “No Edge, você nem notaria nada fora do lugar e permaneceria conectado ao servidor de comando e controle mesmo após fechar o navegador.”

Ao perceber que a exploração ainda funcionava, Rebane notou que a Google provavelmente publicou os detalhes por engano. Para piorar, a janela pop-up de download que aparecia anteriormente ao acionar a exploração não surge mais na versão mais recente do Edge, tornando o ataque ainda mais silencioso. Embora o problema tenha sido novamente tornado privado, a exposição durou tempo suficiente para que as informações vazassem.

A pesquisadora afirmou ao site Ars Technica que a exposição tornaria a exploração “bastante fácil”, embora transformá-la em uma grande botnet seja mais complicado. Ela esclareceu que o bug não contorna as barreiras de segurança do navegador nem dá aos atacantes acesso a e-mails, arquivos ou ao sistema operacional da vítima.