Google усиливает безопасность Chrome, увеличивает вознаграждения и объявляет конкурс с фондом в $2 млн

в 1:33, , рубрики: adobe, adobe flash player, flash player, Google, Google Chrome, информационная безопасность, метки: , , , ,

Как-то совершенно тихо для Хабра прошёл выпуск Google Chrome 21, в котором разработчики проекта Chromium анонсировали усиление безопасности среды выполнения Adobe Flash Player, интегрированного в дистрибутив браузера. Кроме того, руководство Google объявило об увеличении вознаграждения представителям сообщества Chromium за выявленные уязвимости, а также заявило о начале подготовки конкурса с целью демонстрации взлома браузера. Призовой фонд установлен на планке в $2 млн., а максимальная награда в $60 тыс.

Adobe Flash Player

В августе 2009 года компания Google заявила о начале нового проекта — Pepper Plugin API для обеспечения работы подключаемых модулей. Этот интерфейс должен был прийти на смену устаревшему по мнению Google механизму NPAPI. Суть перспектив Google описывал как более стабильную работу за счёт разделения процессов, так и полную кроссплатформенность модулей. В Mozilla от этой затеи отказались, а поисковый гигант настойчиво гнул свою линию. В 2010 году поддержка самого PPAPI была реализована в Chrome, а в августе этого года в рамках этого интерфейса полностью работают два модуля — Adobe Flash и Pepper PDF Reader.
Google усиливает безопасность Chrome, увеличивает вознаграждения и объявляет конкурс с фондом в $2 млн
Самые большие проблемы вызвал Flash. Во-первых, работу по разработке самого модуля на основе PPAPI должна была заниматься Adobe, а вот оптимизациями и обеспечением безопасности — Google. Это существенно усложняло разработку, что и вылилось в довольно затяжной процесс с массой работы и компромиссов. Основным своим приоритетом Google поставила перенос выполнения подключаемого модуля в песочницу. И если бы команда Chrome работала только над одной ОС, то это бы не вызвало никаких проблем, но учитывая, что Chrome работает на 3 платформах (GNU/Linux, OS X и MS Windows) и целом зоопарке систем, то это порождало массу подводных камней, которые были с успехом пройдены: в августе все пользователи всех систем GNU/Linux и Windows получают загнанный в рамки песочницы Flash Player. Разработчики с особой гордостью уделяют внимание на то, что миллион пользователей Chrome, использующих Windows XP, могут быть спокойны за отсутствие таких важных технологий безопасности как ASLR и MIC, которые были анонсированы только в Windows Vista. Использование песочницы фактически исключает возможности атаки через модуль Flash Player с использованием архитектурной слабости системы.
Кроме того, не считая улучшений безопасности, использование PPAPI позволило:

  • Использовать полное аппаратное ускорение Flash-контента на GPU
  • Уменьшить количество падений Flash Player относительно реализаций на NPAPI на 20% (хотя по количествам жалоб на падения Flash на форумах и профильных группах в социальных сетях этого не скажешь)
  • Позволяет пользователям Chrome в Metro-режиме (Modern-режиме теперь?) Windows 8 использовать такие подключаемые модули. Другие сторонние браузеры этого не умеют из-за использования NPAPI.
  • Пользователи GNU/Linux будут получать самые свежие обновления Flash Player. Остальные браузеры смогут использовать только 11.2-версию.

Вознаграждения и конкурс

Google в своем заявлении об увеличении выплат за обнаруженные уязвимости обосновывает своё решение тем фактом, что поиск дырок в последнее время осложнился, требует больших усилий от исследователя, поэтому эти усилия надо оправдать, а мотивацию повысить. Поэтому за нахождение уязвимостей Google даёт бонусную надбавку от $1000 до неназванного предела. Кроме того, за выявление особо экзотичных уязвимостей можно получить легендарные вознаграждения (на данный момент такие уязвимости были отмечены $10 тыс.). Под такие баги подпадают:

  • Уязвимости драйверов NVIDIA, AMD и Intel. Требуется исполнение кода с веб-страницы. Рассматриваются в том числе заявки и на Chrome OS
  • Уязвимости, приводящие к повышению привилегий, выполнение которых происходит путём компрометации ядра Linux в Chrome OS. Дополнительную сложность исследователю придаёт использование урезанного и модифицированного ядра Linux
  • Уязвимости в библиотеке libjpg. Разработчики недовольны тем фактом, что уже долгое время не было ядрёных атак через уязвимости в этом компоненте.
  • 64-битные эксплоиты. Любое выполнение кода, даже без выхода из песочницы попадает под повышенные вознаграждения

Кроме того, дополнительные бонусы будут полагаться тем, кто находит уязвимости в свободных библиотеках, компонентах, демонах и т.п. Если же исследователь, найдя уязвимость, не только сообщил о ней, но ещё и закоммитил патч, который затем верифицируется, то это дополнительная награда от $500 до $1000. Также существует ряд других бонусов.

Что касается конкурса Pwnium 2, то в октябре 2012 года на конференции HITB исследователи смогут продемонстрировать уязвимости в Google Chrome, за которые они смогут получить вознаграждение вплоть до $60 тыс. Общий призовой фонд составляет $2 млн. Обо всех подробностях читайте в специальной записи.

Источники:
1. Chris Evans, The road to safer, more stable, and flashier Flash.
2. Chris Evans, Chromium Vulnerability Rewards Program: larger rewards.

Автор: Mairon


* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js