How We (Almost) Found Chromiums Bug via Crash Reports to Report URI
Mis à jour :
Détection Tardive d’un Bug dans Chromium Grâce aux Rapports de Crash
Une faille critique dans le navigateur Chromium, causant des plantages au niveau du système (“SIGILL”), a été identifiée grâce à l’analyse des rapports de crash. Initialement, le manque de dispositifs cibles et l’impossibilité de déboguer les sites web affectés ont compliqué la recherche de la cause. Le problème a été mis en évidence par de multiples utilisateurs de Chromebooks rapportant des erreurs similaires.
La piste de résolution a émergé suite à l’ajout d’une directive report-sha256 dans les en-têtes de sécurité HTTP. Il s’est avéré que Chromium ne gérait pas correctement cette directive inconnue, entraînant le crash. L’ajout de cette directive correspondait temporellement aux premières remontées de bugs.
La clé pour débloquer la situation fut l’observation attentive des données de crash collectées par Report URI. Bien que les rapports de crash automatisés soient une fonctionnalité précieuse pour identifier les problèmes, leur analyse insuffisante a retardé la résolution.
Points Clés :
- Type de Problème : Plantage de bas niveau (SIGILL) dans Chromium.
- Déclencheur : Ajout d’une directive
report-sha256dans les en-têtes de sécurité HTTP. - Cause Racine : Le navigateur ne gérait pas correctement une directive inconnue.
- Outil de Détection : Rapports de crash automatisés collectés par Report URI.
- Principal Enseignement : L’importance de surveiller activement les données de rapports de crash pour une résolution rapide des problèmes.
Vulnérabilités :
- Aucun identifiant CVE spécifique n’est mentionné dans l’article pour cette vulnérabilité particulière.
Recommandations :
- Activer et surveiller activement les rapports de crash pour les applications et services web.
- S’assurer que les navigateurs gèrent de manière appropriée les directives inconnues dans les en-têtes HTTP, potentiellement en les ignorant ou en les enregistrant sans causer de plantage.