Сегодня днем Google уведомил разработчиков Chromium о том, что они могли подвергнуться воздействию вредоносных программ, использовавшихся для тестирования, из-за внутреннего «недосмотра».
Открытый исходный код Chromium означает, что любой может взять код для создания собственного браузера. Репозиторий исходного кода Chromium с 9 сентября по 18 ноября содержал «некоторые тестовые документы Office, включавшие необработанные вредоносные программы». Google уведомил разработчиков Chromium об этой ошибке по электронной почте в пятницу днем.
Эти образцы были неумышленно зафиксированы в репозитории без обфускации в процессе тестирования функции безопасности для обнаружения вредоносных программ, распространяемых через макросы в документах Office. Эти тестовые файлы не были включены ни в один выпуск Chrome.
Исследователи безопасности нуждаются в использовании образцов вредоносных файлов для целей автоматизированного тестирования обнаружения. Лучшая практика в этих случаях — обфусцировать такие файлы, чтобы их нельзя было случайно открыть или выполнить. В данном случае мы этого не сделали, потенциально подвергнув разработчиков Windows случайному заражению, если бы они сами открыли эти файлы (то есть, перейдя в папку с исходным кодом Chromium и дважды щелкнув на документе Office).
Google явно заявляет, что пользователи Chrome и других браузеров на базе Chromium, например Microsoft Edge, не пострадали. В частности, «Chromium/Chrome не содержит и никогда не содержал никаких из этих файлов, поэтому пользователи этих продуктов не подвергаются риску».
Скорее, команда Chromium сделала это заявление для разработчиков. Тем не менее, вредоносная программа для Windows была пятилетней давности, а рассматриваемые тестовые файлы .doc и .docx должны быть открыты вручную, чтобы вызвать заражение.
3. Мы подтвердили, что вредоносное ПО в настоящее время неактивно.
4. Тесты с использованием этих файлов не активируют вредоносное ПО, поэтому случайное заражение при выполнении тестов не произошло.
5. Репозиторий Chromium, синхронизированный после 18 ноября 2021 года, не представляет риска для разработчиков.
Таким образом, компания считает, что «крайне маловероятно, что кто-либо из участников был заражен этим вредоносным ПО» и что не было «сообщений о том, что кто-либо из участников был заражен при открытии этих файлов».
Мы приносим извинения за недосмотр с нашей стороны и пересматриваем наши процессы, чтобы гарантировать, что потенциально опасные двоичные файлы, фиксируемые в репозитории, должным образом защищены от случайного открытия.
Подробнее о Chromium:
- Xbox получает браузер Edge на базе Chromium в альфа-версии, позволяя играть в Stadia
- Google убирает непреднамеренную возможность для браузеров Chromium получать доступ к закладкам Chrome и синхронизировать их
- Microsoft прекращает поддержку оригинального браузера Edge в следующем году после замены его версией на базе Chromium