Löysin kriittisen haavoittuvuuden Chromium:sta salausjärjestelmää rakentaessani. CVSS 9.6. Vaikuttaa kaikkiin Chromium-pohjaisiin selaimiin maan päällä.
Ilmoitin siitä osoitteeseen Google vastuullisen julkistamisen kautta. He arvostelivat sen. He tunnustivat sen. He merkitsivät sen WontFix.
Haavoittuvuus on Unicode homoglyfipolun lisäys Native Messaging.
Osoitimme tämän 1Password ja Coinbase vastaan. CERT/CC koordinoi julkistamista. BitWarden ja KeePassXC vahvistivat oman altistumisensa.
Google vastaus oli yksi sana: Mahdoton.
Ongelma on heidän julkisessa seurantaohjelmassaan – issues.chromium.org/issues/482538021.
Löysin tämän haavoittuvuuden, koska opiskelin Unicode salausvälineenä. TreeChain koodaa tiedot monikieliseksi tekstiksi 133 387 merkin pituiseksi.
Haavoittuvuus ja salaus ovat sama tutkimus. Erona on suunta.
Kun löydät haavoittuvuuden, joka vaikuttaa 65 prosenttiin maailman selaimista, ja myyjä sanoo Infeasible, opit jotain ongelman löytämisen ja sen korjaamisen välisestä etäisyydestä.
Google voi korjata tämän. He päättävät olla tekemättä. Erotuksella on väliä.
Minulla ei ole turvaryhmää. Minulla on asunto Kielce:ssa, patenttihakemus ja järjestelmä, jonka AES:n toinen luoja vahvisti vahvaksi.
Löysin aukon maailman suosituimmassa selaimessa. Myyjä sanoi, että he eivät korjaa sitä. Nyt tiedät.