Un bogue d’analyseur « fou » pouvant conduire à des exploits XSS a été corrigé par les développeurs de Chromium.

La vulnérabilité a été signalée en juillet 2021 aux développeurs de Chromium par Michał Bentkowski, un testeur d’intrusion pour la société polonaise de cybersécurité Securitum.

Dans un tweetBentkowski a déclaré que le bogue était « le bogue d’analyseur le plus fou que j’aie jamais trouvé ».

Suivi comme CVE-2022-0801la vulnérabilité de gravité moyenne est décrite comme une implémentation inappropriée dans l’analyseur HTML.

Au sommet de l’arbre

Le chercheur en sécurité a découvert la faille de sécurité dans les constructeurs d’arbres du code source de Chromium. D’après un chrome fil de suivi des bogues discutant des découvertes de Bentkowski, deux constructeurs d’arbres sont utilisés : html_tree_builder.cc et html_tree_builder_simulator.cc.

HTML est initialement analysé avec html_tree_builder puis le résultat est analysé avec html_tree_builder_simulator. Par conséquent, en cas de divergence, cela pourrait déclencher une vulnérabilité de script intersite (XSS).

VOUS POURRIEZ AUSSI AIMER Les développeurs de Microweber résolvent la vulnérabilité XSS dans le logiciel CMS

« Html_tree_builder_simulator semble être très court et simple », a déclaré Bentkowski. « Malheureusement, il simplifie à l’extrême l’analyse HTML et gère mal le changement d’état du tokenizer, ce qui conduit à la création d’arborescences DOM apparemment « impossibles ».

Lorsque le contenu a été analysé dans le deuxième arbre DOM, une balise d’image a été incluse en dehors de l’analyse d’origine, conduisant à XSS.

Difficile à catégoriser

La vulnérabilité a été initialement décrite comme une mutation XSS, une forme de XSS causée par des différences dans la façon dont les navigateurs interprètent le code.

Cependant, une fois qu’un développeur Chromium a déduit que le bogue pouvait être considéré comme un XSS universel – une faille exploitée par des navigateurs vulnérables côté client – le chercheur a déclaré qu’il ne pensait pas que l’une ou l’autre catégorisation était « une bonne représentation de cette vulnérabilité ».

« Je dirais que le cœur du problème est que : BackgroundHTMLParser peut analyser le HTML de manière incorrecte, conduisant à XSS sur les pages qui ont une prévention correcte contre XSS », a commenté Bentkowski.

Le Chrome Vulnerability Reward Program (VPR) a attribué à Bentkowski 5 000 $ pour son rapport.

Un patch a été publié pour résoudre la faille de sécurité dans Chrome 99.0.4844.51 en activant la fonctionnalité ForceSynchronousHTMLParsing par défaut. Microsoft a également mis en œuvre le correctif pour le navigateur Microsoft Edge basé sur Chromium.

La mise à jour Chrome 99.0.4844.51 inclut 28 correctifs de sécurité, notamment CVE-2022-0789, un grave bogue de débordement de tampon de tas dans ANGLE ; une incapacité à mettre en œuvre correctement les stratégies dans le programme d’installation, CVE-2022-0799et CVE-2022-0798une vulnérabilité d’utilisation après libération dans MediaStream.

Bentkowski a l’intention de fournir une description complète de la vulnérabilité à l’avenir.

La gorgée quotidienne a contacté Bentkowski avec des questions supplémentaires, et nous mettrons à jour lorsque nous vous répondrons.