Chromium công khai exploit đã được cho là đã vá sau 4 năm, nhưng hóa ra thực tế vẫn chưa được sửa

• Lỗ hổng trên trình duyệt dựa trên Chromium được phát hiện năm 2022 có thể biến trình duyệt thành một thành viên lâu dài của botnet JavaScript mà không cần tương tác từ người dùng
• Trên Microsoft Edge, ngay cả sau khi đóng trình duyệt mà không có dấu hiệu bất thường nào, kết nối C2 và việc thực thi JavaScript vẫn có thể được duy trì
• Vấn đề Chromium này được công khai sau gần 4 năm tại issues.chromium.org/issues/40062121, nhưng ngay sau khi công khai đã được xác nhận là vẫn còn hoạt động, nên lại bị chuyển về không công khai
• Hiện tại trên Edge thậm chí không còn hiện menu tải xuống, nên chỉ với một lần truy cập website cũng có thể thực hiện JavaScript RCE im lặng
• Không thể giảm thiểu bằng bộ lọc uBlock, còn NoScript có thể ngăn chặn bằng cách vô hiệu hóa JavaScript hoặc Service Worker trên trang đó

Việc công khai rồi tái ẩn lỗ hổng trên trình duyệt dựa trên Chromium

• Bug do Rebane phát hiện vào năm 2022 có thể biến bất kỳ trình duyệt dựa trên Chromium nào thành một thành viên lâu dài của botnet JavaScript mà không cần tương tác từ người dùng
• Trên Microsoft Edge, kết nối C2 và việc thực thi JavaScript vẫn có thể được duy trì ngay cả sau khi người dùng đóng trình duyệt mà không thấy dấu hiệu bất thường nào
• Vấn đề Chromium liên quan đã được công khai sau gần 4 năm tại issues.chromium.org/issues/40062121
• Ngay sau khi được công khai, đã xác nhận rằng vấn đề này chưa được sửa đúng cách và vẫn còn hoạt động
• Sau đó issue lại được chuyển về trạng thái không công khai

Ảnh hưởng hiện đã được xác nhận

• Trên Edge, menu tải xuống cũng không còn hiện nữa, nên đã xác nhận rằng chỉ với một lần truy cập website cũng có thể thực hiện JavaScript RCE hoàn toàn im lặng
• JavaScript đã chạy có thể tiếp tục chạy ngay cả sau khi đóng trình duyệt
• Bài gốc có kèm video trình diễn, nhưng trong phần văn bản không công bố quy trình tái hiện cụ thể
• Trích dẫn từ bài viết của Ars Technica cũng đề cập Brave, Opera, Vivaldi, Arc là các trình duyệt dễ bị ảnh hưởng

Khả năng giảm thiểu

• Không thể giảm thiểu lỗ hổng này bằng bộ lọc uBlock
• Với NoScript, có thể giảm thiểu bằng cách vô hiệu hóa JavaScript hoặc Service Worker trên trang đó
• Một người dùng đề xuất phương án dùng uBlock Origin dựa trên Manifest v2 để chèn chính sách CSP và đặt worker-src 'none'
  • uBlock Origin Static filter syntax: CSP
  • Ví dụ được đưa ra là dạng ||$csp=worker-src 'none', như một cách tiếp cận để vô hiệu hóa Service Worker trên toàn cục
• Chưa rõ cách này có thể làm hỏng các tiện ích mở rộng sử dụng Service Worker hay không, và liệu một tiện ích mở rộng có thể chèn header CSP vào tiện ích khác hay không
• Cũng có chia sẻ cách vô hiệu hóa Service Worker trên trình duyệt dựa trên Chromium thông qua uBlock
  • How to disable Service Workers on Chromium based browsers through uBlock

Các câu hỏi còn lại và quá trình công khai

• Một số phản hồi có nhắc đến “Background fetch”, nhưng trong bài gốc chưa xác nhận rõ mối liên hệ giữa tính năng này và lỗ hổng
• Chưa có câu trả lời rõ ràng về việc tiến trình Service Worker có tiếp tục tồn tại trên Edge ngay cả khi không còn tiến trình trình duyệt chính hay không, hoặc nếu tắt chạy nền của Edge thì việc thực thi sau khi đóng trình duyệt có bị chặn hay không
• Một người dùng chỉ ra comment56 của issue Chromium và nói rằng phía công khai issue là bên Chromium
• Issue đã công khai sau đó lại được đặt về không công khai, và một số người dùng nói rằng vẫn còn bản lưu trên archive.today, archive.is, archive.ph