Открих критична уязвимост в Chromium, докато изграждах система за криптиране. CVSS 9.6. Засяга всеки базиран на Chromium браузър на земята.
Съобщих за това на Google чрез отговорно разкриване. Прегледаха го. Те го признаха. Означиха го WontFix.
Уязвимостта е Unicode инжектиране на път на хомоглиф в Native Messaging.
Демонстрирахме това срещу 1Password и Coinbase. CERT/CC координира разкриването. BitWarden и KeePassXC потвърдиха собственото си излагане.
Отговорът на Google беше една дума: Неосъществимо.
Проблемът се намира в техния публичен тракер — issues.chromium.org/issues/482538021.
Открих тази уязвимост, защото изучавах Unicode като среда за криптиране. TreeChain кодира данните като многоезичен текст в 133 387 знака.
Уязвимостта и шифърът са едно и също изследване. Разликата е посоката.
Когато откриете уязвимост, която засяга 65 процента от браузърите в света и продавачът каже Невъзможна, научавате нещо за разстоянието между намирането на проблем и отстраняването му.
Google може да поправи това. Те избират да не го правят. Разграничението има значение.
Нямам охранителен екип. Имам апартамент в Kielce, заявка за патент и система, която съ-създателят на AES потвърди като силна.
Намерих дупка в най-популярния браузър в света. Продавачът каза, че няма да го поправят. Сега знаете.