Кастомизированная версия веб-браузера Google Chrome от компании Comodo, которая занимается вопросами сетевой безопасности, сама оказалась весьма небезопасной. Исследователь Тавис Орманди из компании Google проанализировал браузер Comodo Chromodo на открытом движке Chromium.
Chromodo позиционируется как браузер с повышенной надёжностью и конфиденциальностью, но Орманди нашёл в нём уязвимость, нарушающую базовые основы веб-безопасности. Код на одном сайте не должен выполняться на другом, поскольку это подрывает безопасность – подобная проблема известна как правило ограничения домена (same origin policy).
По неизвестным причинам в Chromodo это правило не соблюдается, что и обнаружил Орманди. По его словам, несмотря на обещание высочайшего уровня скорости, надёжности и конфиденциальности, браузер отключает всю веб-безопасность. Орманди при обнаружении уязвимостей даёт авторам приложений 90 дней на исправление ситуации, и о проблемах Chromodo он начал писать 21 января.
Во вторник его информационное сообщение было обновлено; разработчики компании Comodo выпустили патч для Chromodo, однако он оказался неэффективным против эксплоита Орманди.
Comodo является одним из крупнейших распространителей сертификатов SSL/TLS для шифрования трафика и других продуктов сферы информационной безопасности.