Chromium, düzeltilmiş olduğu söylenen exploit’i 4 yıl sonra açıkladı ancak aslında yamalanmamış olduğu ortaya çıktı

• 2022’de keşfedilen Chromium tabanlı tarayıcı açığı, kullanıcı etkileşimi olmadan tarayıcıyı kalıcı bir JavaScript botnet üyesine dönüştürebiliyordu
• Microsoft Edge’de kullanıcı hiçbir anormallik fark etmeden, tarayıcı kapatıldıktan sonra bile C2 bağlantısı ve JavaScript yürütmesi sürebiliyordu
• İlgili Chromium sorunu yaklaşık 4 yıl sonra yayımlandı, ancak yayımlandıktan hemen sonra hâlâ çalıştığı doğrulanınca tekrar gizli duruma alındı
• Şu anda Edge’de indirme menüsü bile görünmediği için, yalnızca tek bir web sitesini ziyaret ederek sessiz JavaScript RCE gerçekleştirilebildiği doğrulandı
• uBlock filtreleriyle hafifletme mümkün değil; NoScript ise ilgili sayfada JavaScript’i veya Service Worker’ı devre dışı bırakarak bunu engelleyebiliyor

Chromium tabanlı tarayıcı açığının yayımlanması ve yeniden gizlenmesi

• Rebane’in 2022’de bulduğu hata, kullanıcı etkileşimi olmadan herhangi bir Chromium tabanlı tarayıcıyı kalıcı bir JavaScript botnet üyesine dönüştürebiliyordu
• Microsoft Edge’de kullanıcı herhangi bir belirti görmeden, tarayıcı kapatıldıktan sonra bile C2 bağlantısı ve JavaScript yürütmesi devam edebiliyordu
• İlgili Chromium sorunu yaklaşık 4 yıl sonra issues.chromium.org/issues/40062121 adresinde yayımlandı
• Yayımlandıktan hemen sonra sorunun düzgün biçimde düzeltilmediği ve hâlâ çalıştığı doğrulandı
• Ardından sorun yeniden gizli duruma alındı

Şu anda doğrulanan etki

• Edge’de artık indirme menüsü de görünmediği için, yalnızca tek bir web sitesini ziyaret ederek tamamen sessiz JavaScript RCE gerçekleştirilebildiği doğrulandı
• Çalıştırılan JavaScript, tarayıcı kapatıldıktan sonra da çalışmaya devam edebiliyor
• Orijinal metinde bir demo videosu yer alıyordu, ancak metin içinde ayrıntılı yeniden üretim adımları paylaşılmadı
• Ars Technica alıntısında Brave, Opera, Vivaldi, Arc da savunmasız tarayıcılar arasında anılıyor

Hafifletme olasılıkları

• uBlock filtreleriyle bu açık hafifletilemiyor
• NoScript, ilgili sayfada JavaScript’i veya Service Worker’ı devre dışı bırakarak hafifletme sağlayabiliyor
• Bir kullanıcı, Manifest v2 tabanlı uBlock Origin’in CSP ilkesi enjekte ederek worker-src 'none' ayarlamasını önermiş
  • uBlock Origin Static filter syntax: CSP
  • Örnek olarak ||$csp=worker-src 'none' biçimini verip Service Worker’ı küresel olarak devre dışı bırakma yaklaşımını sunuyor
• Bu yaklaşımın Service Worker kullanan uzantıları bozup bozmayacağı veya bir uzantının başka uzantılara CSP başlığı enjekte edip edemeyeceği net değil
• Chromium tabanlı tarayıcılarda uBlock ile Service Worker’ı devre dışı bırakma yöntemi de paylaşılıyor
  • How to disable Service Workers on Chromium based browsers through uBlock

Kalan sorular ve yayımlanma süreci

• Bazı yanıtlar “Background fetch”ten söz etti, ancak orijinal metinde bu özellikle açık arasındaki ilişki net biçimde doğrulanmıyor
• Edge’de Service Worker sürecinin ana tarayıcı süreci olmadan da ayakta kalıp kalmadığı veya Edge’in arka plan çalışmasını kapatmanın tarayıcı kapandıktan sonraki çalışmayı engelleyip engellemediği konusunda net bir yanıt yok
• Bir kullanıcı, Chromium sorununun comment56 bağlantısını göstererek yayımlama tarafının Chromium olduğunu belirtiyor
• Yayımlanan sorun daha sonra yeniden gizli olarak ayarlandı ve bazı kullanıcılar archive.today, archive.is, archive.ph üzerinde arşivlerin kaldığını belirtiyor