Chromium、修正済みとされたエクスプロイトを4年後に公開するも、実際には未修正だったことが判明

• 2022年に発見された Chromium ベースのブラウザ脆弱性では、ユーザー操作なしでブラウザを永続的な JavaScript ボットネットの構成員にできた
• Microsoft Edge では異常の兆候がないまま、ブラウザを閉じた後も C2 接続 と JavaScript の実行が維持される可能性があった
• この Chromium の問題は約4年後に公開されたが、公開直後も依然として動作することが確認され、再び 非公開 に戻された
• 現在の Edge ではダウンロードメニューすら表示されず、単一の Web サイトを訪問するだけで 静かな JavaScript RCE が可能だと確認されている
• uBlock フィルターでは緩和できず、NoScript はそのページの JavaScript または Service Worker を無効化することで防げる

Chromium ベースのブラウザ脆弱性の公開と再非公開

• Rebane が 2022 年に発見したバグでは、ユーザー操作なしで 任意の Chromium ベースのブラウザを永続的な JavaScript ボットネットの構成員にできた
• Microsoft Edge では、ユーザーが異常の兆候を目にしないまま、ブラウザを閉じた後も C2 接続 と JavaScript の実行が維持される可能性があった
• 関連する Chromium の issue は約4年後に issues.chromium.org/issues/40062121 で公開された
• 公開直後、この問題が適切に修正されておらず、依然として動作することが確認された
• その後、この issue は再び非公開に戻された

現時点で確認されている影響

• Edge ではもはやダウンロードメニューも表示されず、単一の Web サイトを訪問するだけで 完全に静かな JavaScript RCE が可能だと確認されている
• 実行された JavaScript は、ブラウザを閉じた後も継続して実行される可能性がある
• 原文にはデモ動画が含まれていたが、テキスト上では具体的な再現手順は公開されていなかった
• Ars Technica の記事引用では、Brave, Opera, Vivaldi, Arc も脆弱なブラウザとして言及されている

緩和の可能性

• uBlock フィルターではこの脆弱性を緩和できない
• NoScript は、そのページで JavaScript または Service Worker を無効化すれば緩和可能である
• あるユーザーは、Manifest v2 ベースの uBlock Origin が CSP ポリシーを注入して worker-src 'none' を設定する案を提案した
  • uBlock Origin Static filter syntax: CSP
  • 例として ||$csp=worker-src 'none' の形式を挙げ、Service Worker をグローバルに無効化するアプローチを提示している
• この方法が Service Worker を使用する拡張機能を壊す可能性があるのか、また拡張機能が他の拡張機能に CSP ヘッダーを注入できるのかは明らかではない
• Chromium ベースのブラウザで uBlock によって Service Worker を無効化する方法も共有されている
  • How to disable Service Workers on Chromium based browsers through uBlock

残る疑問と公開の経緯

• 一部の返信では「Background fetch」への言及があったが、原文ではこの機能と脆弱性の関係は明確に確認されていない
• Service Worker プロセスが Edge でメインのブラウザプロセスなしでも残るのか、また Edge のバックグラウンド実行を無効にすればブラウザ終了後の実行を防げるのかについては明確な答えがない
• あるユーザーは、Chromium issue の comment56 を指し、公開した主体は Chromium 側だったと述べている
• 公開された issue はその後再び非公開に設定され、一部のユーザーは archive.today、archive.is、archive.ph にアーカイブが残っていると述べている