Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-day уязвимостях в 2020 году
5 февраля 2021 года
Спустя два дня после публикации выпуска Chrome с устранением критической уязвимости, компания Google сформировала ещё одно обновление Chrome 88.0.4324.150, в котором исправлена уязвимость CVE-2021-21148, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана переполнением кучи в JavaScript-движке V8.
Проблеме присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. Сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение ещё одной уязвимости в операционной системе.
Некоторые аналитики предполагают, что уязвимость применялась в эксплоите, используемом в раскрытой в конце января атаке ZINC на исследователей безопасности (в прошлом году в Twitter и различных социальных сетях был раскручен фиктивный исследователь, который вначале заработал себе положительную репутацию через публикацию обзоров и статей о новых уязвимостях, но при публикации очередной статьи применил эксплоит с 0-day уязвимостью, запускающий код в системе при клике на ссылке в Chrome для Windows).
Дополнительно можно отметить несколько появившихся на днях публикаций Google, связанных с безопасностью:
- Отчёт о эксплоитах с 0-day уязвимостями, выявленных командой Project Zero в прошлом году. В статье приводится статистика, что 25% от изученных 0-day уязвимостей были напрямую связаны с ранее публично раскрытыми и исправленными уязвимостями, т.е. авторы 0-day эксплоитов находили новый вектор атаки из-за недостаточно полного или некачественного исправления (например, разработчики уязвимых программ часто устраняют лишь частный случай или просто создают видимость исправления, не докапываясь до корня проблемы). Подобных 0-day уязвимостей потенциально можно было избежать при более тщательном изучении и исправлении уязвимостей.
- Отчёт о вознаграждениях, выплаченных Google исследователям безопасности за выявление уязвимостей. Всего в 2020 году было выплачено премий на 6.7 млн долларов, что на 280 тысяч долларов больше, чем в 2019 году и почти в два раза больше, чем в 2018 году. Всего было выплачено 662 премии. Размер самой большой премии составил 132 тысячи долларов. $1.74 млн был потрачен на выплаты, связанные с безопасностью платформы Android, $2.1 млн - Chrome, $270 тыс - Google Play и $400 тысяч на гранты исследователям.
- Представлен фреймворк "Know, Prevent, Fix" для управления метаданным об устранении уязвимостей, контроля за исправлением, отправки уведомлений о новых уязвимостях, поддержания базы с информацией об уязвимостях, отслеживания привязки уязвимостей к зависимостям и анализа риска проявления уязвимости через зависимости.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.