A semana não está boa para desenvolvedores de programas de segurança. Depois de pesquisadores de segurança do Google encontrarem falhas básicas no Malwarebytes, agora é o navegador Chromodo que está na berlinda.
O navegador é uma versão do Chrome criada pela Comodo para ter ênfase
em privacidade e segurança para os usuários. Exceto que um outro
pesquisador de segurança achou uma vulnerabilidade primária no programa.
Segundo a denúncia de Tavis Ormandy,
o Chromodo apresenta uma violação de um dos princípios mais
fundamentais de segurança na web desde os anos 90: ele executa códigos
de domínios diferentes. Chamada de Política de Mesma Origem e adotada em
todos os outros navegadores existentes no mercado, ela impede que o
código residente em um domínio seja executado em outro, para evitar
ataques de phishing ou captura de dados.
Ormandy desenvolveu um exploit que ataca essa vulnerabilidade para interceptar cookies
gerados por outros domínios e alertou a empresa sobre o risco de
segurança. De acordo com o pesquisador, a empresa tentou lançar uma
atualização que corrigia o problema, mas o exploit continuou funcionando. A Comodo se recusa a comentar sobre o incidente.