- PVSM.RU - https://www.pvsm.ru -
Как-то совершенно тихо для Хабра прошёл выпуск Google Chrome 21, в котором разработчики проекта Chromium анонсировали усиление безопасности среды выполнения Adobe Flash Player, интегрированного в дистрибутив браузера. Кроме того, руководство Google объявило об увеличении вознаграждения представителям сообщества Chromium за выявленные уязвимости, а также заявило о начале подготовки конкурса с целью демонстрации взлома браузера. Призовой фонд установлен на планке в $2 млн., а максимальная награда в $60 тыс.
В августе 2009 года компания Google заявила о начале нового проекта — Pepper Plugin API для обеспечения работы подключаемых модулей. Этот интерфейс должен был прийти на смену устаревшему по мнению Google механизму NPAPI. Суть перспектив Google описывал как более стабильную работу за счёт разделения процессов, так и полную кроссплатформенность модулей. В Mozilla от этой затеи отказались [1], а поисковый гигант настойчиво гнул свою линию. В 2010 году поддержка самого PPAPI была реализована в Chrome, а в августе этого года в рамках этого интерфейса полностью работают два модуля — Adobe Flash и Pepper PDF Reader.
[2]
Самые большие проблемы вызвал Flash. Во-первых, работу по разработке самого модуля на основе PPAPI должна была заниматься Adobe, а вот оптимизациями и обеспечением безопасности — Google. Это существенно усложняло разработку, что и вылилось в довольно затяжной процесс с массой работы и компромиссов. Основным своим приоритетом Google поставила перенос выполнения подключаемого модуля в песочницу. И если бы команда Chrome работала только над одной ОС, то это бы не вызвало никаких проблем, но учитывая, что Chrome работает на 3 платформах (GNU/Linux, OS X и MS Windows) и целом зоопарке систем, то это порождало массу подводных камней, которые были с успехом пройдены: в августе все пользователи всех систем GNU/Linux и Windows получают загнанный в рамки песочницы Flash Player. Разработчики с особой гордостью уделяют внимание на то, что миллион пользователей Chrome, использующих Windows XP, могут быть спокойны за отсутствие таких важных технологий безопасности как ASLR [3] и MIC [4], которые были анонсированы только в Windows Vista. Использование песочницы фактически исключает возможности атаки через модуль Flash Player с использованием архитектурной слабости системы.
Кроме того, не считая улучшений безопасности, использование PPAPI позволило:
Google в своем заявлении об увеличении выплат за обнаруженные уязвимости обосновывает своё решение тем фактом, что поиск дырок в последнее время осложнился, требует больших усилий от исследователя, поэтому эти усилия надо оправдать, а мотивацию повысить. Поэтому за нахождение уязвимостей Google даёт бонусную надбавку от $1000 до неназванного предела. Кроме того, за выявление особо экзотичных уязвимостей можно получить легендарные вознаграждения (на данный момент такие уязвимости были отмечены $10 тыс.). Под такие баги подпадают:
Кроме того, дополнительные бонусы будут полагаться тем, кто находит уязвимости в свободных библиотеках, компонентах, демонах и т.п. Если же исследователь, найдя уязвимость, не только сообщил о ней, но ещё и закоммитил патч, который затем верифицируется, то это дополнительная награда от $500 до $1000. Также существует ряд других бонусов.
Что касается конкурса Pwnium 2, то в октябре 2012 года на конференции HITB [6] исследователи смогут продемонстрировать уязвимости в Google Chrome, за которые они смогут получить вознаграждение вплоть до $60 тыс. Общий призовой фонд составляет $2 млн. Обо всех подробностях читайте в специальной записи [7].
Источники:
1. Chris Evans, The road to safer, more stable, and flashier Flash [8].
2. Chris Evans, Chromium Vulnerability Rewards Program: larger rewards [9].
Автор: Mairon
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/google/13285
Ссылки в тексте:
[1] отказались: https://wiki.mozilla.org/NPAPI:Pepper
[2] Image: http://minus.com/lO4tN22H7YFBY
[3] ASLR: http://en.wikipedia.org/wiki/Address_space_layout_randomization#Microsoft_Windows
[4] MIC: http://en.wikipedia.org/wiki/Mandatory_Integrity_Control
[5] Использовать: http://i.minus.com/iboEZmpN0GWwB7.PNG
[6] HITB: http://conference.hitb.org/hitbsecconf2012kul/
[7] специальной записи: http://blog.chromium.org/2012/08/announcing-pwnium-2.html
[8] The road to safer, more stable, and flashier Flash: http://blog.chromium.org/2012/08/the-road-to-safer-more-stable-and.html
[9] Chromium Vulnerability Rewards Program: larger rewards: http://blog.chromium.org/2012/08/chromium-vulnerability-rewards-program.html
Нажмите здесь для печати.