Encontré una vulnerabilidad crítica en Chromium mientras construía un sistema de cifrado. CVSS 9.6. Afecta a todos los navegadores basados en Chromium del mundo.
Lo informé a Google mediante divulgación responsable. Lo revisaron. Lo reconocieron. Lo marcaron WontFix.
La vulnerabilidad es una inyección de ruta de homoglifo Unicode en Native Messaging.
Lo demostramos contra 1Password y Coinbase. CERT/CC coordinó la divulgación. BitWarden y KeePassXC confirmaron su propia exposición.
La respuesta de Google fue una palabra: Inviable.
El problema se encuentra en su rastreador público: issues.chromium.org/issues/482538021.
Encontré esta vulnerabilidad porque estaba estudiando Unicode como medio de cifrado. TreeChain codifica datos como texto multilingüe en 133.387 caracteres.
La vulnerabilidad y el cifrado son la misma investigación. La diferencia es la dirección.
Cuando encuentras una vulnerabilidad que afecta al 65 por ciento de los navegadores del mundo y el proveedor dice Inviable, aprendes algo sobre la distancia entre encontrar un problema y solucionarlo.
Google puede solucionar este problema. Eligen no hacerlo. La distinción importa.
No tengo un equipo de seguridad. Tengo un piso en Kielce, una solicitud de patente y un sistema que el cocreador de AES validó como sólido.
Encontré un agujero en el navegador más popular del mundo. El vendedor dijo que no lo arreglarán. Ahora lo sabes.