Google publie un code d'exploit pour un bug Chromium non corrigé
Google a publié un code d'exploit pour une vulnérabilité Chromium non corrigée, exposant des millions d'utilisateurs de Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc et autres browsers basés sur Chromium à un risque que, selon des chercheurs en sécurité, aurait dû rester privé jusqu'à ce qu'un patch soit prêt. Ars Technica a rapporté que le bug affecte l'interface Browser Fetch et peut être exploité par un site malveillant pour maintenir une connexion service worker persistante même après un redémarrage du browser ou de l'appareil.
Cela dépasse le seuil d'une histoire de sécurité sérieuse car cela combine deux problèmes à la fois : un défaut browser longtemps non corrigé et un code d'exploit proof-of-concept public qui abaisse la barrière à l'abus. Selon Ars Technica, le chercheur qui a signalé le problème en privé fin 2022 a déclaré que l'exploit publié serait assez facile à utiliser, même si son exploitation à grande échelle demanderait encore du travail. C'est exactement le genre de fossé de divulgation qui peut transformer un bug browser de niche en un risque opérationnel plus large.
L'impact rapporté n'est pas une prise de contrôle complète de l'appareil, mais il reste substantiel. L'exploit peut soi-disant transformer le browser en un proxy limité, aider à lancer du trafic de déni de service, et révéler certains schémas d'activité du browser. Parce que tout site web visité pourrait potentiellement déclencher l'abus, la surface d'attaque est exceptionnellement large. Firefox et Safari ne sont pas affectés car ils ne supportent pas la même fonctionnalité background-fetch, mais l'écosystème Chromium est assez grand pour que le risque couvre encore une énorme part de la navigation de bureau.
La chronologie rend l'histoire plus préoccupante. Ars indique que la vulnérabilité a été signalée il y a 29 mois, a reçu une évaluation de sévérité élevée S1 dans les discussions Chromium, et est restée non patchée lorsque le proof-of-concept a été posté publiquement. Bien que Google ait ensuite supprimé la divulgation, des copies subsisteraient sur des sites d'archives. Cela signifie que les défenseurs ne contrôlent plus le flux d'informations. Les attaquants, chercheurs et répondants aux incidents travaillent désormais à partir du même point de départ pendant que les utilisateurs attendent encore un correctif.
L'implication pratique pour les organisations est que le durcissement du browser ne peut plus être traité comme un problème endpoint léger. Les entreprises qui dépendent fortement des browsers basés sur Chromium devront peut-être surveiller les comportements inexpliqués de l'interface de téléchargement, restreindre les contextes de navigation risqués, et suivre de près les mises à jour des fournisseurs dans les prochains jours. C'est aussi un autre rappel que la dette de sécurité browser peut rester pendant des années dans des fonctionnalités peu utilisées avant de devenir soudainement urgente.
Jusqu'à ce que Google et les fournisseurs Chromium livrent un patch, l'histoire est moins une question de panique que de gestion de l'exposition. Un code d'exploit public change immédiatement l'équation du risque. Une fois ce code dehors, chaque jour sans correctif compte davantage.
Originally reported by Ars Technica. Read the original article for additional details.
View original source