El investigador de Google, Tavis Ormandy, reveló que un navegador web instalado de forma predeterminada con el producto Internet Security de Comodo desactiva la seguridad web en lugar de mejorarla.

Chromodo es un navegador de Internet basado en Chromium, anunciado por Comodo como un producto similar a Chrome, pero con "niveles sin precedentes de velocidad, seguridad y privacidad." Cuando es instalado en un sistema, Chromodo se establece como el navegador predeterminado e importa la configuración y las cookies de Chrome.

En un informe de errores publicado el 21 de enero, en el sitio de Investigación de Seguridad de Google, Ormandy afirmó haber descubierto varias "prácticas oscuras", entre ellas que Chromodo modifica la configuración de DNS. Sin embargo, el problema más grave detectado por el experto es que el navegador desactiva la política del mismo origen (SOP, por sus siglas en inglés), lo que significa que efectivamente se nulifica toda la seguridad web.

"La política del mismo origen está básicamente deshabilitada en todos sus clientes, lo que significa que no hay seguridad en la web ....es tan  malo como suena", dijo el investigador a Comodo.

SOP es una política de seguridad de aplicaciones web importante para evitar que contenido cargado desde un origen interactúe con un recurso de otro origen. Si SOP está desactivado, un script abierto en una ventana del navegador podría interactuar con otras ventanas. Por ejemplo, un script malicioso podría interactuar con una cuenta de correo electrónico abierta de una ventana diferente y llevar a cabo acciones en nombre del usuario.

Ormandy también ha desarrollado un exploit para la vulnerabilidad, pero se quejó de tener dificultades para lograrlo a través de Comodo.

El lunes, Ormandy informó que Comodo había llevado a cabo una revisión para solucionar el problema, pero el experto encontró que el parche era superficial y fácil de evadir. Project Zero por lo general da a las empresas hasta 90 días para solucionar las vulnerabilidades reportadas, pero en este caso los detalles del incidente se dieron a conocer muy pronto, ya que Comodo publicó un parche.
Aunque el parche no es eficiente, Ormandy decidió cambiar el estado de la falla a "solucionado" y abrir un nuevo informe de error para la corrección insuficiente emitida por Comodo.

Ormandy también informó acerca de otras cuestiones, incluyendo que los productos de seguridad de Comodo no habilitan ASLR durante el proceso de escaneo. La compañía reportó al investigador de Google que solucionar las otras vulnerabilidades podría tomar semanas.