Google publica código de exploit para uma falha não corrigida no Chromium
O Google publicou código de exploit para uma vulnerabilidade não corrigida no Chromium, expondo milhões de usuários do Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Arc e outros navegadores baseados em Chromium a um risco que, segundo pesquisadores de segurança, deveria ter permanecido privado até que um patch estivesse pronto. A Ars Technica informou que a falha afeta a interface Browser Fetch e pode ser abusada por um site malicioso para manter uma conexão persistente de service worker mesmo após o navegador ou dispositivo ser reiniciado.
Isso ultrapassa o limite para uma história de segurança grave, pois combina dois problemas ao mesmo tempo: uma falha de navegador há muito tempo não corrigida e um código público de prova de conceito que reduz a barreira para abuso. De acordo com a Ars Technica, o pesquisador que reportou o problema de forma privada no final de 2022 disse que o exploit publicado seria razoavelmente fácil de usar, mesmo que operá-lo em grande escala ainda exigisse trabalho. Esse é exatamente o tipo de lacuna de divulgação que pode transformar uma falha de navegador de nicho em um risco operacional mais amplo.
O impacto relatado não é a tomada total do dispositivo, mas ainda é substancial. O exploit pode, segundo relatos, transformar o navegador em um proxy limitado, ajudar a lançar tráfego de negação de serviço (DDoS) e revelar alguns padrões de atividade do navegador. Como qualquer site visitado pode potencialmente desencadear o abuso, a superfície de ataque é excepcionalmente ampla. Firefox e Safari não são afetados porque não suportam o mesmo recurso de background-fetch, mas o ecossistema Chromium é grande o suficiente para que o risco ainda abranja uma enorme parcela da navegação em desktop.
A linha do tempo torna a história mais preocupante. A Ars diz que a vulnerabilidade foi reportada há 29 meses, recebeu uma classificação de alta gravidade S1 nas discussões do Chromium e permaneceu sem patch quando a prova de conceito foi publicada publicamente. Embora o Google tenha removido a divulgação posteriormente, cópias supostamente permanecem em sites de arquivamento. Isso significa que os defensores não controlam mais o fluxo de informações. Atacantes, pesquisadores e respondedores de incidentes agora trabalham a partir do mesmo ponto de partida, enquanto os usuários ainda aguardam uma correção.
A implicação prática para organizações é que o endurecimento do navegador não pode mais ser tratado como uma questão leve de endpoint. Empresas que dependem fortemente de navegadores baseados em Chromium podem precisar ficar atentas a comportamentos inexplicáveis na interface de download, restringir contextos de navegação arriscados e acompanhar de perto as atualizações dos fornecedores nos próximos dias. Este é também mais um lembrete de que a dívida de segurança do navegador pode ficar por anos em recursos levemente usados antes de se tornar urgente de repente.
Até que o Google e os fornecedores do Chromium distribuam um patch, a história é menos sobre pânico e mais sobre gerenciamento de exposição. O código de exploit público muda a equação de risco imediatamente. Uma vez que esse código está disponível, cada dia sem correção importa mais.
Originally reported by Ars Technica. Read the original article for additional details.
View original source