Bir şifreleme sistemi oluştururken Chromium'da kritik bir güvenlik açığı buldum. CVSS 9.6. Dünyadaki her Chromium tabanlı tarayıcıyı etkiler.
Bunu sorumlu bir açıklama yoluyla Google adresine bildirdim. Onu incelediler. Bunu kabul ettiler. Bunu WontFix olarak işaretlediler.
Güvenlik açığı, Native Messaging'ye Unicode homoglif yolu enjeksiyonundan kaynaklanmaktadır.
Bunu 1Password ve Coinbase'ye karşı gösterdik. CERT/CC açıklamayı koordine etti. BitWarden ve KeePassXC kendi paylaşımlarını doğruladılar.
Google'nun yanıtı tek kelimeydi: Mümkün değil.
Sorun, herkese açık takip cihazında (issues.chromium.org/issues/482538021) bulunuyor.
Bu güvenlik açığını buldum çünkü şifreleme ortamı olarak Unicode üzerinde çalışıyordum. TreeChain, verileri 133.387 karakterden oluşan çok dilli metin olarak kodlar.
Güvenlik açığı ve şifre aynı araştırmadır. Fark yöndür.
Dünyadaki tarayıcıların yüzde 65'ini etkileyen bir güvenlik açığı bulduğunuzda ve satıcı "Mümkün değil" dediğinde, sorunu bulma ile sorunu çözme arasındaki mesafe hakkında bir şeyler öğrenirsiniz.
Google bunu düzeltebilir. Yapmamayı seçiyorlar. Ayrım önemlidir.
Güvenlik ekibim yok. Kielce'da bir dairem, patent başvurum ve AES ortak yaratıcısının güçlü olarak onayladığı bir sistemim var.
Dünyanın en popüler tarayıcısında bir delik buldum. Satıcı sorunu çözemeyeceğini söyledi. Artık biliyorsun.