- 2022 में खोजी गई Chromium-आधारित ब्राउज़र भेद्यता बिना किसी user interaction के ब्राउज़र को स्थायी JavaScript botnet सदस्य बना सकती थी
- Microsoft Edge में किसी असामान्य संकेत के बिना, ब्राउज़र बंद करने के बाद भी C2 connection और JavaScript execution जारी रह सकता था
- संबंधित Chromium issue लगभग 4 साल बाद सार्वजनिक किया गया, लेकिन सार्वजनिक होते ही यह पुष्टि हुई कि यह अब भी काम करता है, इसलिए इसे फिर से private कर दिया गया
- अभी Edge में download menu भी नहीं दिखाई देता, इसलिए सिर्फ एक वेबसाइट विजिट से silent JavaScript RCE संभव होने की पुष्टि हुई है
- uBlock filters से इसका mitigation संभव नहीं है, जबकि NoScript में उस पेज पर JavaScript या Service Worker को disable करके इसे रोका जा सकता है
Chromium-आधारित ब्राउज़र भेद्यता का सार्वजनिक होना और फिर से private किया जाना
- Rebane ने 2022 में जो bug खोजा था, वह बिना किसी user interaction के किसी भी Chromium-आधारित ब्राउज़र को स्थायी JavaScript botnet सदस्य बना सकता था
- Microsoft Edge में उपयोगकर्ता को कोई असामान्य संकेत दिखे बिना, ब्राउज़र बंद होने के बाद भी C2 connection और JavaScript execution जारी रह सकता था
- संबंधित Chromium issue लगभग 4 साल बाद issues.chromium.org/issues/40062121 पर सार्वजनिक किया गया
- सार्वजनिक होने के तुरंत बाद यह पुष्टि हुई कि समस्या ठीक से patch नहीं हुई थी और अब भी काम कर रही थी
- इसके बाद issue को फिर से private कर दिया गया
वर्तमान में पुष्टि किया गया प्रभाव
- Edge में अब download menu भी नहीं दिखता, इसलिए सिर्फ एक वेबसाइट विजिट से पूरी तरह silent JavaScript RCE संभव होने की पुष्टि हुई है
- चलाया गया JavaScript ब्राउज़र बंद होने के बाद भी चलता रह सकता है
- मूल पोस्ट में demo video शामिल था, लेकिन टेक्स्ट में विस्तृत reproduction steps सार्वजनिक नहीं किए गए थे
- Ars Technica के उद्धरण में Brave, Opera, Vivaldi, Arc का भी vulnerable browsers के रूप में उल्लेख है
mitigation की संभावना
- uBlock filters से इस भेद्यता का mitigation नहीं किया जा सकता
- NoScript में उस पेज पर JavaScript या Service Worker को disable करने से mitigation संभव है
- एक उपयोगकर्ता ने Manifest v2-आधारित uBlock Origin द्वारा CSP policy inject करके
worker-src 'none' सेट करने का सुझाव दिया
- यह स्पष्ट नहीं है कि क्या यह तरीका Service Worker इस्तेमाल करने वाले extensions को तोड़ सकता है, या कोई extension दूसरे extension में CSP headers inject कर सकता है
- Chromium-आधारित ब्राउज़रों में uBlock के ज़रिए Service Worker disable करने का तरीका भी साझा किया गया
बचे हुए सवाल और सार्वजनिक होने की पृष्ठभूमि
- कुछ जवाबों में “Background fetch” का उल्लेख था, लेकिन मूल पोस्ट में इस फीचर और भेद्यता के संबंध की स्पष्ट पुष्टि नहीं हुई
- यह स्पष्ट जवाब नहीं है कि क्या Service Worker process Edge में मुख्य ब्राउज़र process के बिना भी बना रहता है, या Edge की background execution बंद करने पर ब्राउज़र बंद होने के बाद इसका चलना रुक जाएगा
- एक उपयोगकर्ता ने Chromium issue के comment56 की ओर इशारा करते हुए कहा कि सार्वजनिक करने वाला पक्ष Chromium था
- सार्वजनिक किया गया issue बाद में फिर से private सेट कर दिया गया, और कुछ उपयोगकर्ताओं ने कहा कि archive.today, archive.is, archive.ph पर उसके archive अब भी मौजूद हैं
1 टिप्पणियां
Lobste.rs की राय
"क्या यह अब भी काफ़ी हद तक exploit किया जा सकने वाला नहीं लगता?" पर "मैंने कोशिश नहीं की, उम्मीद है कि नहीं होगा", "अरे नहीं.." तक जाने वाला flow हर बार देखने पर अजीब तरह से मज़ेदार बातचीत लगता है
इसे browser RCE कहना थोड़ा संदिग्ध है
example.com खोलने पर example.com मेरे browser के अंदर code चला सकता है, यह उसी स्तर के RCE जैसा है
खुले हुए tab के बंद हो जाने के बाद भी resources का इस्तेमाल करते रहना समस्या है, लेकिन जिसे आम तौर पर browser remote code execution कहा जाता है, उससे यह काफ़ी अलग है
यह सस्ते में distributed botnet चलाने या घरेलू IP बेचने के तरीके जैसा दिखता है
समझ नहीं आता Twitter और उसके clones का user experience हमेशा इतना ख़राब क्यों होता है
समयक्रम में sort न की गई posts पढ़ते-पढ़ते स्ट्रोक आने जैसा लगता है
शायद मैं तकनीकी रूप से अनपढ़ boomer बनता जा रहा हूँ
वहाँ भी चीज़ें thread के आधार पर व्यवस्थित हैं