Ik heb een kritieke kwetsbaarheid gevonden in Chromium tijdens het bouwen van een encryptiesysteem. CVSS 9.6. Heeft invloed op elke Chromium-gebaseerde browser ter wereld.
Ik heb het via verantwoorde openbaarmaking gemeld aan Google. Ze hebben het beoordeeld. Zij erkenden het. Ze hebben het gemarkeerd als WontFix.
De kwetsbaarheid is een Unicode homoglyph-padinjectie in Native Messaging.
We hebben dit aangetoond tegen 1Password en Coinbase. CERT/CC coördineerde de openbaarmaking. BitWarden en KeePassXC bevestigden hun eigen bekendheid.
Het antwoord van Google was één woord: onhaalbaar.
Het probleem bevindt zich in hun openbare tracker: issues.chromium.org/issues/482538021.
Ik heb deze kwetsbaarheid gevonden omdat ik Unicode als encryptiemedium bestudeerde. TreeChain codeert gegevens als meertalige tekst met 133.387 tekens.
De kwetsbaarheid en het cijfer zijn hetzelfde onderzoek. Het verschil is richting.
Wanneer u een kwetsbaarheid vindt die 65 procent van de browsers ter wereld treft en de leverancier zegt Infeasible, leert u iets over de afstand tussen het vinden van een probleem en het oplossen ervan.
Google kan dit oplossen. Zij kiezen ervoor om dat niet te doen. Het onderscheid is belangrijk.
Ik heb geen beveiligingsteam. Ik heb een flat in Kielce, een patentaanvraag en een systeem dat door de mede-maker van AES als sterk is gevalideerd.
Ik heb een gat gevonden in de populairste browser ter wereld. De verkoper zei dat ze het niet zouden repareren. Nu weet je het.