Phát hành bản vá lỗ hổng zero-day CSS cho Chrome trên Windows/macOS

Tôi đã cập nhật rồi nhưng trên Mac thì phiên bản đã lên tới 145.0.7632.110 rồi.

Đây là lỗ hổng có thể dẫn tới chiếm quyền hệ thống do xảy ra lỗi Use-After-Free khi xử lý font bên trong CSS và tiếp tục sử dụng một địa chỉ đã bị vô hiệu hóa, nên chỉ cần mở một trang web thôi cũng có thể bị ảnh hưởng. Thậm chí còn đã có nơi khai thác lỗ hổng này.

Ý kiến trên Hacker News

• Đã phát hiện lỗ hổng use-after-free trong CSS của Google Chromium
  Đây là vấn đề mà kẻ tấn công từ xa có thể gây hỏng heap thông qua một trang HTML độc hại, và có thể ảnh hưởng không chỉ Chrome mà cả các trình duyệt dựa trên Chromium như Edge, Opera
  Có vẻ là một vấn đề khá nghiêm trọng, và tôi tò mò tiền thưởng bug bounty mà nhà nghiên cứu nhận được là bao nhiêu

  • Có lẽ không quá 20.000 USD
    Nghĩ đến công sức cần bỏ ra để tìm ra một lỗ hổng nghiêm trọng và tạo được exploit có thể tái hiện, tôi cảm thấy mức thưởng là quá thấp
  • Có vẻ Firefox không bị ảnh hưởng
  • Các ứng dụng Electron cũng có thể bị ảnh hưởng
    Vì phần lớn đều ghim cố định (pinning) phiên bản Chrome
  • Để trở thành một cuộc tấn công thực sự có ý nghĩa thì cần sandbox escape
    Nhưng việc nói là “được phát hiện ngoài thực tế” có thể cũng đồng nghĩa là đã tồn tại một chuỗi tấn công bao gồm cả sandbox escape
  • Tôi nghĩ vấn đề là nhiều người vẫn còn xem nhẹ use-after-free
    Việc không loại bỏ được kiểu lỗi này trong ngôn ngữ hệ thống của thế kỷ 21 là điều đáng xấu hổ

• Có lẽ vẫn còn những lỗi như vậy ẩn trong các góc tối của codebase Chromium/Blink
  Với một dự án cốt lõi như thế này, nên có nhân sự chuyên trách để liên tục xác minh toàn bộ mã nguồn
  Tôi nghĩ đầu tư vào tăng cường bảo mật như vậy có giá trị hơn nhiều so với các tính năng như tích hợp với tủ lạnh thông minh

  • Chromium đã thực hiện fuzzing rất quyết liệt
    Nếu fuzzer đủ mạnh thì tôi cho rằng hầu như không còn khu vực nào là không thể chạm tới

• Cách diễn đạt “Use after free in CSS” nghe hơi buồn cười

  • Có lẽ họ đang muốn nói đến trình phân tích CSS hoặc CSSOM
  • Tôi thắc mắc vì sao họ lại dùng cách diễn đạt đó

• Tôi không rõ chính xác lỗ hổng này gây ảnh hưởng thế nào
  Nếu không có thoát khỏi sandbox hay XSS thì có vẻ gần như vô hại, nhưng nhìn vào mã PoC thì
  người ta nói có thể thực hiện nhiều kiểu tấn công như thực thi mã tùy ý trong tiến trình renderer, rò rỉ thông tin, đánh cắp cookie và phiên, thao túng DOM, keylogging

  • Tấn công trình duyệt thường gồm hai giai đoạn
    Đầu tiên là dùng lỗi renderer để có thực thi mã tùy ý bên trong sandbox, sau đó dùng sandbox escape để lấy toàn bộ quyền trên hệ thống
    Lỗ hổng này thuộc giai đoạn đầu, và nếu đã được dùng trong tấn công thực tế thì khả năng cao cũng tồn tại giai đoạn thứ hai

• Tôi vẫn thấy ngạc nhiên là những lỗ hổng bộ nhớ như thế này vẫn xuất hiện
  Tôi cứ nghĩ hẳn đã có những công cụ để tạo ra binary đã được kiểm chứng như với ngôn ngữ an toàn bộ nhớ
  CSS giờ cũng trở nên phức tạp hơn với biến, phạm vi và các tính năng tiền xử lý ngày càng nhiều, nên có khi cũng cần một tiện ích mở rộng “no-style” giống như “no-script”
  Tôi tò mò không biết báo cáo lần này là một sai sót đơn lẻ hay là một chuỗi tấn công nhiều bước

  • Không phải là không có các công cụ đó, nhưng Chromium đã tận dụng gần như mọi sanitizer và fuzzing có thể
    Vấn đề là độ bao phủ kiểm thử. Codebase quá lớn nên rất khó đạt được độ bao phủ hoàn toàn, và các lỗ hổng kiểu này xuất hiện trong những khoảng trống đó
  • “no-style” về mặt thực tế là không khả thi
    CSS là phần cốt lõi của web, bỏ nó đi thì gần như mọi trang sẽ hỏng
    Thay vào đó, thực thi cô lập (isolation) có thể là một phương án thay thế
    Nếu phát trực tuyến phiên trình duyệt từ máy chủ từ xa, thì ngay cả khi có zero-day, chỉ instance từ xa bị ảnh hưởng chứ không phải máy cục bộ
    Dù không hoàn hảo, đây là một chiến lược phòng thủ theo chiều sâu để thu hẹp bề mặt tấn công

• Trong danh sách công cụ bảo mật mà nhóm Chromium sử dụng có nhắc đến AddressSanitizer, MemorySanitizer, libFuzzer..., nhưng việc thiếu OSS-Fuzz khá thú vị

  • OSS-Fuzz không phải là một fuzzer riêng, mà là một nền tảng tích hợp và sử dụng các sanitizer và engine fuzzing được nhắc đến ở trên

• Tôi muốn xem mã PoC sau khi bản vá được phát hành

  • Đã có PoC được công khai trên GitHub

• Có người đùa rằng nên viết lại Chromium bằng Rust

  • Thực tế một phần của engine Blink đã được viết lại bằng GC-based C++ để nhắm tới hiệu quả tương tự
  • Cũng có ý kiến cho rằng thà đầu tư vào engine Servo của Mozilla còn hơn

• Tôi tìm CVE thì thấy có trang issue tồn tại nhưng
  nó hiển thị “Access is denied”
  Có vẻ đây là trạng thái riêng tư, chỉ truy cập được khi đăng nhập