Το repository των Chromium developers, μολύνθηκε από δοκιμαστικό malware κατά λάθος

[nnn]

Η Google προειδοποίησε σήμερα το απόγευμα τους προγραμματιστές του Chromium σχετικά με την πιθανότητα να εκτέθηκαν σε κακόβουλο λογισμικό που χρησιμοποιήθηκε για δοκιμές λόγω μιας εσωτερικής "αβλεψίας".

Η φύση του Chromium ως ανοικτού κώδικα σημαίνει ότι ο καθένας μπορεί να πάρει τον κώδικα για να δημιουργήσει το δικό του πρόγραμμα περιήγησης. Το εν λόγω αποθετήριο πηγαίου κώδικα Chromium από τις 9 Σεπτεμβρίου έως τις 18 Νοεμβρίου περιείχε "ορισμένα έγγραφα του γραφείου δοκιμών που περιλάμβαναν κάποιο μη θωρακισμένο κακόβουλο λογισμικό". Η Google ενημέρωσε τους προγραμματιστές του Chromium για αυτό το σφάλμα σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου το απόγευμα της Παρασκευής.

These samples were inadvertently committed to the repository without obfuscation in the process of testing the security feature to detect the presence of malware distributed through macros in Office documents. These test files were not included in any Chrome release.

Security researchers have a need to use sample malware files for the purposes of automated testing of detection. The best practice in these cases is to obfuscate such files so that they cannot be accidentally opened or executed. In this case, we didn’t do that, potentially exposing Windows developers to accidental infection if they were to open these files themselves (i.e. by browsing to the Chromium source checkout folder and double-clicking on the Office document).

Η Google αναφέρει ρητά ότι οι χρήστες του Chrome και άλλων προγραμμάτων περιήγησης που βασίζονται στο Chromium, π.χ. Microsoft Edge, δεν επηρεάζονται. Συγκεκριμένα, "το Chromium/Chrome δεν περιλαμβάνει και δεν συμπεριέλαβε ποτέ κανένα από αυτά τα αρχεία, οπότε οι χρήστες αυτών των προϊόντων δεν διατρέχουν κανέναν κίνδυνο".

Αντίθετα, η ομάδα του Chromium έκανε αυτή την αποκάλυψη για τους προγραμματιστές. Τούτου λεχθέντος, το κακόβουλο λογισμικό των Windows ήταν πέντε ετών και τα εν λόγω δοκιμαστικά αρχεία .doc και .docx πρέπει να ανοιχτούν χειροκίνητα για να προκαλέσουν μόλυνση.

3. We have confirmed that the malware itself is inactive as of this writing.

4. Tests using these files do not trigger the malware, so incidental infection via running tests would not have occur[r]ed.

5. The Chromium repo synced past Nov 18th, 2021 does not pose a risk to developers.

Ως εκ τούτου, η εταιρεία πιστεύει ότι είναι "εξαιρετικά απίθανο να έχουν μολυνθεί κάποιοι συνεισφέροντες από αυτό το κακόβουλο λογισμικό" και ότι δεν υπήρξαν "αναφορές ότι κάποιοι συνεισφέροντες μολύνθηκαν από το άνοιγμα αυτών των αρχείων".

We apologize for the oversight on our end and are reviewing our processes to help ensure that potentially dangerous binary files committed to the repo are properly shielded from accidental opening.

Translated with www.DeepL.com/Translator (free version)

Πηγή : 9to5Google

[manosdoc]

Στο Debian είμαστε ok;

[giorgosts]

Λογικά αν κάποιος χρησιμοποιεί τα daily builds θα έχει επηρρεαστεί, αν έχει μόνο release versions όχι.

[globalnoise]

Μάλλον δεν διαβάσατε το άρθρο Δεν έγινε κάτι στα builds, αρχεία στο repo ήταν που potentially θα μπορούσε να ανοίξει κάποιος που έκανε περιήγηση στο repo.

[aiolos.01]

Τούτου λεχθέντος, το κακόβουλο λογισμικό των Windows ήταν πέντε ετών και τα εν λόγω δοκιμαστικά αρχεία .doc και .docx πρέπει να ανοιχτούν χειροκίνητα για να προκαλέσουν μόλυνση.

Ως εκ τούτου, η εταιρεία πιστεύει ότι είναι "εξαιρετικά απίθανο να έχουν μολυνθεί κάποιοι συνεισφέροντες από αυτό το κακόβουλο λογισμικό" και ότι δεν υπήρξαν "αναφορές ότι κάποιοι συνεισφέροντες μολύνθηκαν από το άνοιγμα αυτών των αρχείων".

H αυτόματη μετάφραση έχει πάει σε άλλο επίπεδο.

[manosdoc]

Μάλλον δεν διαβάσατε το άρθρο Δεν έγινε κάτι στα builds, αρχεία στο repo ήταν που potentially θα μπορούσε να ανοίξει κάποιος που έκανε περιήγηση στο repo.

PEBKAC, my apologies