Исследователь из Google Тэвис Орманди (Tavis Ormandy) обнаружил, что политика единого источника в браузере Chromodo, устанавливаемом вместе с бесплатным ПО Comodo Internet Security, по умолчанию отключена.

SOP является основным принципом интернет-безопасности, это правило разрешает скриптам доступ к данным другой страницы лишь в том случае, если обе страницы размещены в одном и том же домене.

«Chromodo позиционируется как инструмент, обеспечивающий высочайшую скорость, безопасность и приватность, однако на деле он деактивирует все средства веб-защиты, — пишет Орманди в бюллетене Google Project Zero. — Повторяю: они ***отключают политику одного источника***…. ?!?..».

Chromodo построен на кодовой базе Chromium, проекта с открытым исходным кодом. Этот продукт производства Comodo устанавливается как дефолтный браузер, с соответствующей заменой всех ссылок для быстрого вызова. «Они также подменяют настройки DNS в числе прочих сомнительных практик», — констатирует Орманди.

Проблема была поставлена разработчику на вид 21 января, и Project Zero начал отсчет времени в рамках положенного 90-дневного дедлайна. В минувший вторник Comodo опубликовала «горячую» заплатку, которую Орманди расценил как неполную: по его словам, вендор лишь убрал конкретный API, который исследователь использовал в своем PoC-эксплойте.

«Это явно неадекватное исправление, минимальное изменение не может повлиять на пригодность к эксплуатации данной уязвимости, — поясняет эксперт. — По окончании переговоров с Comodo (на самом деле я никак не могу добиться ответной реакции, хотя не прекращаю попыток) я сочту, что баг исправлен, и сообщу им о другом, с тривиальным обходом их фикса в качестве новой проблемы».

SOP-политика также является неотъемлемым элементом безопасности браузера. Она позволяет ограничить взаимодействие документов и скриптов с контентом из других источников на основании их URI-схемы, имени хоста, номера порта и т.п.

Update. После публикации заметки о находке Орманди на iTnews компания Comodo представила этому изданию следующий комментарий: «В уязвимости не повинны ни Comodo, ни сам браузер Chromodo. Проблема крылась в аддоне и уже исправлена. Comodo сегодня (4 февраля) выпустит апдейт для Chromodo, уже без аддона, устраняющий все возможные  проблемы; обновление будет также спущено всем текущим пользователям Chromodo».

Категории: Кибероборона, Уязвимости