Xakep #305. Многошаговые SQL-инъекции
Исследователь Google Project Zero Тевис Орманди (Tavis Ormandy) нашел проблему в очередном антивирусном продукте. Однако случай с Comodo Internet Security и браузером Chromodo отличается от прочих изысканий эксперта. В опубликованном бюллетене Орманди не просто описал уязвимость, он сообщил, что Comodo Internet Security – это плохо.
https://twitter.com/taviso/status/690335891366158336
Когда пользователь устанавливает приложение Comodo Internet Security, в комплекте ему навязывают и собственный браузер компании — Chromodo, работающий на базе Chromium и подающийся как защищенное решение. Метод распространения браузера уже вызывает некоторые вопросы, но основная проблема заключается совсем не в этом. Дело в том, что Chromodo автоматически импортирует все, что только может из Chrome, подменяет все ярлыки своими, а также переписывает настройки DNS. Причем пользователь о подмене даже не подозревает.
«Когда вы устанавливаете Comodo Internet Security, по умолчанию также инсталлируется браузер Chromodo, которой сам назначает себя браузером по умолчанию. Более того, все ярлыки подменяются ссылками на Chromodo, а все настройки, куки и так далее импортируются из Chrome. Помимо этих сомнительных практик, изменяются также настройки DNS. Фактически отключается вся веб-безопасность вообще. Позвольте мне повторить: они на *** вырубили политику одного источника [same origin policy].... ?!?..», — пишет Орманди.
Возмущение Орманди понятно, отключенная SOP действительно не сулит пользователю ничего хорошего. В данном режиме окно браузера (и потенциальный вредоносный скрипт, открытый в нем) может взаимодействовать с другими приложениями, а также друг с другом могут взаимодействовать и разные вкладки.
Судя по переписке с разработчиками Comodo, опубликованной Орманди, компания уже выпустила исправление для данной проблемы. Однако эксперт отмечает, что патч получился весьма сомнительного качества, его легко обойти. Из-за этого Орманди создал новый баг репорт, касающийся плохо работающего патча, но исходную проблему отметил как «исправленную».
Comodo pushed out a fix for one of the vulns I reported, but botched the fix badly. This is going to take a while folks. #antivirus #wtf
— Tavis Ormandy (@taviso) January 30, 2016
Фото: Tavis Ormandy