Sześć błędów w godzin
Maciej Pulikowski, na co dzień Fullstack .NET Developer, o swoim sukcesie w zakresie security, jego hobby, rozmawiał z serwisem Justgeek.it. Przyznał, że badał nowości w Google Chrome pod kątem ich ewentualnego zastosowania w nowym projekcie. Szybko dostrzegł, że pewne metody nie posiadają istotnych ograniczeń, niezwykle ważnych z punktu widzenia bezpieczeństwa. Na przestrzeni około 60 minut Polak wykrył jeden błąd z wysoką podatnością, cztery ze średnią i jeden z niską. Dlaczego najistotniejsza z luk okazała się groźna?
„Udowodniłem że okienko systemu operacyjnego wywołane przez aplikację Google Chrome, podaje nieprawdziwy typ pobieranego pliku. Użytkownik myśli, że pobiera zdjęcie koteczek.jpg, ale tak naprawdę może to być dowolny inny typ pliku, w tym przypadku był to wirus.lnk, który uruchamiał kalkulator. Taka sytuacja nie może mieć miejsca, gdyż domyślnie użytkownik w pełni zaufa rozszerzeniu JPG. Wie bowiem, że nie może to być niebezpieczny plik. Google wyceniło tę podatność na wysoką” – tłumaczy Pulikowski w rozmowie z serwisem Justgeek.it.
Polak twierdzi, że błędy zgłosił 11 października 2020 roku, ale Google poprawkę skierowała na produkcję dopiero 19 stycznia 2021 roku.
Maciejowi Pulikowskiemu życzymy dalszych sukcesów, a osoby interesujące się cyberbezpieczeństwem zachęcamy do angażowania się w podobne polowania na bugi.
Źródło: justgeek.it