Google publicó por error el exploit de una falla grave en Chrome y Edge sin parche

El miércoles por la mañana, Lyra Rebane abrió el rastreador público de errores de Chromium y encontró algo que no esperaba: la vulnerabilidad que había reportado en octubre de 2022 estaba ahí, visible para cualquiera, con el código de explotación completo. Asumió que finalmente habían lanzado un parche. Revisó el historial. No había parche.

Google había publicado accidentalmente el exploit de una falla sin corregir que afecta a Chrome, Microsoft Edge y prácticamente todos los navegadores construidos sobre Chromium. Después de 29 meses en el sistema de divulgación responsable, la vulnerabilidad se volvió pública sin que existiera una solución disponible.

Qué hace el exploit

La falla está en la interfaz de programación Browser Fetch, un estándar que permite a los navegadores descargar archivos grandes en segundo plano, similar a cómo funcionan las actualizaciones silenciosas de aplicaciones o las descargas en streaming.

Un atacante que explote esta vulnerabilidad puede monitorear aspectos de la navegación del usuario, usar el dispositivo como proxy para visitar sitios web y lanzar ataques de denegación de servicio contra terceros. Lo que lo hace particularmente difícil de contener es que las conexiones abiertas por el exploit persisten o se reabren incluso después de reiniciar el navegador o el dispositivo.

Cualquier sitio web que el usuario visite puede activar el exploit. No requiere descarga de archivos, no requiere que el usuario haga clic en nada específico. Basta con cargar la página.

La clasificación interna y lo que eso implica

Dos desarrolladores de Chromium calificaron la falla como una vulnerabilidad grave en el hilo interno de divulgación. El sistema de severidad de Chromium le asignó una clasificación S1, la segunda más alta en su escala. No fue una falla menor que pasó desapercibida. Era conocida, estaba documentada y seguía abierta.

Rebane, que trabaja como investigadora independiente, describió el potencial del exploit con precisión: "La parte peligrosa es que podés tener muchos navegadores distintos juntos a los que en el futuro podés hacerles correr algo cuando te das cuenta de cómo hacerlo". También señaló que explotar el código publicado sería bastante fácil, aunque escalar el ataque para armar una red de gran tamaño requeriría trabajo adicional.

El resultado práctico es que millones de dispositivos pueden convertirse en parte de una botnet limitada sin que sus propietarios lo noten.

29 meses de espera

El proceso de divulgación responsable funciona sobre un principio básico: el investigador reporta la falla al fabricante de forma privada, el fabricante tiene tiempo para desarrollar y lanzar un parche, y recién después se hace pública la información.

Rebane siguió el proceso. Reportó la vulnerabilidad al rastreador de errores de Chromium en octubre de 2022, dentro del canal de divulgación privado. Dos desarrolladores del equipo la reconocieron como grave. Pasaron 29 meses.

No hubo parche. No hubo comunicación pública. Y el miércoles por la mañana el exploit apareció en el rastreador público antes de que existiera ninguna solución disponible. No como resultado de un ataque externo ni de una filtración. Por un error interno del propio equipo de Chromium.

El alcance del problema

Chromium no es solo Chrome. Es la base de Edge, de Opera, de Brave, de Vivaldi y de decenas de navegadores menos conocidos. Cuando aparece una vulnerabilidad en el motor central, el impacto abarca a prácticamente todo el ecosistema de navegación web, salvo Firefox y Safari.

La cantidad de usuarios expuestos es difícil de calcular con precisión, pero Chrome solo tiene más del 60% del mercado global de navegadores de escritorio. Edge tiene una porción significativa en entornos corporativos. El número de dispositivos potencialmente vulnerables se mide en cientos de millones.

Qué pueden hacer los usuarios

Al momento en que la falla se hizo pública, no existía un parche disponible. Google no había emitido ningún comunicado oficial con instrucciones concretas. El exploit está en manos del público y la corrección no.

Para los usuarios, la opción más directa es seguir de cerca los canales de actualización de su navegador y aplicar cualquier parche en cuanto esté disponible. El navegador se actualiza automáticamente en la mayoría de los casos, pero no está de más verificarlo manualmente. Desactivar o limitar scripts de terceros mediante extensiones de control de contenido puede reducir la superficie de ataque, aunque no eliminarla.

Para el equipo de Chromium, el problema más inmediato es lanzar un parche. El segundo problema, más difícil de resolver, es explicar cómo una vulnerabilidad de severidad S1 estuvo abierta durante casi dos años y medio sin que nadie cerrara el ciclo.

Ese tipo de preguntas suelen tener respuestas incómodas.