Google ka publikuar gabimisht kod shfrytëzimi (exploit code) për një dobësi ende të pa rregulluar në bazën e Chromium, duke ngritur shqetësime serioze për sigurinë e miliona përdoruesve të Chrome dhe shfletuesve të tjerë të ndërtuar mbi të njëjtin motor. Incidenti lidhet me një problem të identifikuar prej kohësh, i cili kishte mbetur i pazgjidhur për rreth 29 muaj para publikimit të tij në mënyrë të papritur.
Publikimi përfshinte një provë konceptuale (proof-of-concept) që shfrytëzon ndërfaqen Browser Fetch të Chromium, një komponent që lejon shkarkimin dhe transmetimin e skedarëve të mëdhenj në sfond. Dobësia mund të shfrytëzohet për të krijuar lidhje të qëndrueshme në shfletues, duke mundësuar monitorim të aktivitetit të përdoruesit, ridrejtim trafiku dhe madje edhe sulme të tipit denial-of-service. Raporti thekson se problemi është klasifikuar si serioz (S1), ndërsa disa zhvillues e kanë përshkruar si një cenueshmëri kritike, për shkak të potencialit të saj për të prekur pothuajse të gjithë ekosistemin e shfletuesve të bazuar në Chromium, përfshirë Chrome, Edge dhe të tjerë.
Ajo që e bën situatën më të ndërlikuar është fakti se dobësia nuk ishte ende e rregulluar në momentin e publikimit të kodit. Pas zbulimit të gabimit, Google e hoqi postimin nga platforma e tij e bug tracker-it, por kopje të kodit dhe detajeve teknike mbeten ende të qarkulluara në arkiva publike. Ekspertët e sigurisë paralajmërojnë se natyra e këtij lloji të dobësive mund ta kthejë pajisjen e përdoruesit në një nyje të mundshme të një rrjeti keqdashës, nëse shfrytëzohet nga aktorë të jashtëm, veçanërisht për shkak të qëndrueshmërisë së lidhjeve që mund të mbeten aktive edhe pas rinisjes së pajisjes. Ngjarja ka hapur debat më të gjerë mbi mënyrën se si kompanitë teknologjike menaxhojnë zbulimin publik të dobësive ende të pa rregulluara, veçanërisht kur ato prekin një bazë kaq të madhe përdoruesish globalë.
Discussion about this post