Обновление Chrome с устранением 0-day уязвимости. Отчёт о 0-day уязвимостях в 2020 году

05.02.2021 10:32

Спустя два дня после публикации выпуска Chrome с устранением критической уязвимости, компания Google сформировала ещё одно обновление Chrome 88.0.4324.150, в котором исправлена уязвимость CVE-2021-21148, уже применяемая злоумышленниками в эксплоитах (0-day). Детали пока не раскрываются, известно лишь, что уязвимость вызвана переполнением кучи в JavaScript-движке V8.

Проблеме присвоен высокий, но не критический, уровень опасности, т.е. обозначено, что уязвимость не позволяет обойти все уровни защиты браузера и её недостаточно чтобы выполнить код в системе за пределами sandbox-окружения. Сама по себе уязвимость в Chrome не позволяет обойти sandbox-окружение и для полноценной атаки требуется применение ещё одной уязвимости в операционной системе.

Некоторые аналитики предполагают, что уязвимость применялась в эксплоите, используемом в раскрытой в конце января атаке ZINC на исследователей безопасности (в прошлом году в Twitter и различных социальных сетях был раскручен фиктивный исследователь, который вначале заработал себе положительную репутацию через публикацию обзоров и статей о новых уязвимостях, но при публикации очередной статьи применил эксплоит с 0-day уязвимостью, запускающий код в системе при клике на ссылке в Chrome для Windows).

Дополнительно можно отметить несколько появившихся на днях публикаций Google, связанных с безопасностью:

Отчёт о эксплоитах с 0-day уязвимостями, выявленных командой Project Zero в прошлом году. В статье приводится статистика, что 25% от изученных 0-day уязвимостей были напрямую связаны с ранее публично раскрытыми и исправленными уязвимостями, т.е. авторы 0-day эксплоитов находили новый вектор атаки из-за недостаточно полного или некачественного исправления (например, разработчики уязвимых программ часто устраняют лишь частный случай или просто создают видимость исправления, не докапываясь до корня проблемы). Подобных 0-day уязвимостей потенциально можно было избежать при более тщательном изучении и исправлении уязвимостей.
Отчёт о вознаграждениях, выплаченных Google исследователям безопасности за выявление уязвимостей. Всего в 2020 году было выплачено премий на 6.7 млн долларов, что на 280 тысяч долларов больше, чем в 2019 году и почти в два раза больше, чем в 2018 году. Всего было выплачено 662 премии. Размер самой большой премии составил 132 тысячи долларов. $1.74 млн был потрачен на выплаты, связанные с безопасностью платформы Android, $2.1 млн - Chrome, $270 тыс - Google Play и $400 тысяч на гранты исследователям.
Представлен фреймворк "Know, Prevent, Fix" для управления метаданным об устранении уязвимостей, контроля за исправлением, отправки уведомлений о новых уязвимостях, поддержания базы с информацией об уязвимостях, отслеживания привязки уязвимостей к зависимостям и анализа риска проявления уязвимости через зависимости.

исправить +7 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/54534-chrome

Ключевые слова: chrome, 0-day, google

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (28)

1.1, Леголас (ok), 10:43, 05/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Нужно больше хромодыр, что бы лиса вышла на первое место по доле на рынке, которое она заслуживает.

2.2, Fracta1L (ok), 10:50, 05/02/2021 [^] [^^] [^^^] [ответить]	–7 +/–
Не заслуживает. Им надо было выбросить полностью всё это кривое-тормозное-дырявое легаси и писать браузер с нуля на базе Servo.

3.5, Леголас (ok), 11:12, 05/02/2021 [^] [^^] [^^^] [ответить]	+/–
По твоей логике и Chrome/Chromium ничем не лучше. Вакантное место должен занять... Links!

4.23, FractaL (ok), 19:55, 05/02/2021 [^] [^^] [^^^] [ответить]	+/–
> По твоей логике и Chrome/Chromium ничем не лучше. Вакантное место должен занять... > Links! У маего старшего брата логика? Серьёзно?

3.9, Ann (??), 12:46, 05/02/2021 [^] [^^] [^^^] [ответить]	+/–
Предварительно переписав Servo на C. Иначе получиться очень-кривое-тормозное-дырявое поделие.

3.14, пох. (?), 13:49, 05/02/2021 [^] [^^] [^^^] [ответить]

+/–

Точно!

(обратите внимание, нубы: вот настоящий Фратал *правильно* говорит о своем любимом языке - в несовершенной форме - не "написать", а именно "писать браузер с нуля".)

Занятия хватило бы на пяток поколений разработчиков, а там бы еще что-нибудь придумали...

3.22, FractaL (ok), 19:53, 05/02/2021 [^] [^^] [^^^] [ответить]

+/–

> Не заслуживает. Им надо было выбросить полностью всё это кривое-тормозное-дырявое легаси
> и писать браузер с нуля на базе Servo.

Очередное дурацкое мнение моего как всем изветно не очень умного старшего брата. Ты уже устарел, мы с iPony тебя сделали.

2.8, Посылатель нахер (?), 12:09, 05/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Нет https://bugzilla.mozilla.org/show_bug.cgi?id=1425650

2.10, Аноним (10), 12:53, 05/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Хм... По доле дыр?

2.11, Аноним (10), 12:54, 05/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
Да она вроде и так на том самом месте... Которое заслуживает.

3.15, пох. (?), 13:49, 05/02/2021 [^] [^^] [^^^] [ответить]	–1 +/–
Это потому что она не на хрусте!

1.3, Аноним (3), 10:59, 05/02/2021 [ответить] [﹢﹢﹢] [ · · · ]

+/–

>в прошлом году в Twitter и различных социальных сетях был раскручен фиктивный исследователь, который вначале заработал себе положительную репутацию через публикацию обзоров и статей о новых уязвимостях, но при публикации очередной статьи применил эксплоит с 0-day уязвимостью, запускающий код в системе при клике на ссылке в Chrome для Windows

Офигеть вообще, в таргетированных атаках против частных лиц без серьёзных грошей в кармане на 0-day эксплоиты не скупятся.

Из этого можно сделать вывод, что внедрение бэкдоров/поиск уязвимостей и разработка эксплоитов стала намного дешевле.

Китайцы GPT-3 применили для поиска и прототипирования?

2.4, Леголас (ok), 11:06, 05/02/2021 [^] [^^] [^^^] [ответить]	+/–
Google сама поощряет поиск.

2.6, Аноним (6), 11:17, 05/02/2021 [^] [^^] [^^^] [ответить]	+/–
Ответ кроется в статье со статистикой по 0-day. При исправлении уязвимостей стали больше халтурить, прикрывают лишь внешнее проявление, а суть дыры остаётся. Они ещё не упомянули про утечки информации из багтрекеров, в прошлом году пару раз 0-day в Chrome всплывали из-за того, что патчи раньше времени в код утекали.

2.16, пох. (?), 13:52, 05/02/2021 [^] [^^] [^^^] [ответить]

+/–

> Офигеть вообще, в таргетированных атаках против частных лиц без серьёзных грошей в кармане

"дура не дура, а тридцатку в день - имею!"
Частные лица, любители "новостей" о zero-day, знаешь ли, могут иметь на кармане не только грошики, но и сотню-другую тысчонку зомбомайнеров. Понятен, не все, лишь избранные - но и одной такой сеточки китайцу хватит на чашку риса. Причем - цельнозолотую.

1.7, Аноним (7), 11:19, 05/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
У леммингов гугла вообще отдельный мир - маленький, страшный и кругом дыры

2.12, Аноним (10), 12:56, 05/02/2021 [^] [^^] [^^^] [ответить]	+2 +/–
Ой ли! Маленький и огороженный это не к Гуглу. Он вертит всем вэбом как хочет. А кто-то сидит в своём загончике. Смирись, анон.

2.27, Аноним (27), 10:40, 08/02/2021 [^] [^^] [^^^] [ответить]	+/–
Лиса для гугла давно мертва.

1.13, Аноним (13), 13:35, 05/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
В Генту что-то очень протухший Хромиум. А Puppeteer вообще 70 скачивает. Как страшно жить. Хорошо что у меня ФФ -- не нужно переживать из-за гугловских бэкдоров.

2.17, Аноним (13), 14:16, 05/02/2021 [^] [^^] [^^^] [ответить]	+/–
Не я не понял а почему pyppeteer хромиум трёхлетней давности использует? Даже не последнюю ревизию той ветки. С текущей ревизией не работает, и найти какая тебе ревизия нужна не так и просто. Ндя.

3.18, Аноним (13), 14:42, 05/02/2021 [^] [^^] [^^^] [ответить]

+/–

Если кому-нибудь интересно, ревизия 818858 работает (это 88.0.4298.0, 2020/10/20), 843427 уже не работает почему-то. Взять можно тут https://commondatastorage.googleapis.com/chromium-browser-snapshots/index.html?prefix=Linux_x64/

Я прошёлся по последним постам в https://github.com/puppeteer/puppeteer/releases чтобы найти ревизии. Судя по номеру это не последняя. Не понимаю как найти ревизию,

Ревизия 827102(88.0.4324.0 2020/11/13) тоже работает, но это ведь всё старые ревизии. Я могу получить ревизию 88.0.4324.150 где-нибудь например?

4.19, Аноним (13), 15:19, 05/02/2021 [^] [^^] [^^^] [ответить]	+/–
Там прилично изменений набралось, вот для этой стабильной ветки с ноября по сегодня https://chromium.googlesource.com/chromium/src/+log/88.0.4324.0..88.0.4324.150?pretty=fuller&n=10000 https://chromium.googlesource.com/v8/v8/+log/8.8.278..8.8.278.15?pretty=fuller https://chromium.googlesource.com/skia/+log/59bafeeaa7de9eb753e3778c414e01dcf0 Это что же получается, ревизии с исправлениями никак не получить? Или их не существует?

1.21, Аноним (21), 19:53, 05/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Все эти дыры, манифесты, запреты API - это так похромовски. Хорошо, что есть неизменно и стабильно работающая лиса, а всю хрень оставим хромоногим.

2.24, Аноньимъ (ok), 05:34, 06/02/2021 [^] [^^] [^^^] [ответить]	+1 +/–
>неизменно и стабильно работающая лиса *неразборчивые рыдания Мистера Бивня

1.28, Аноним (27), 10:41, 08/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Гугл вас всех вертел. На своем нефритовом стержне. Вместе с лисой. И всем вэбом.

1.29, vz_2 (?), 12:28, 11/02/2021 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Хромонутые до сих пор воспроизводят видео с youtube в большей яркостью, а в FF и PM там с хорошим контрастом. Достаточно легко запустить одно и тоже видео в хроме и FF, все сразу видно.

2.30, Oe (?), 12:46, 11/02/2021 [^] [^^] [^^^] [ответить]	+/–
Че? Последний раз 10 лет назад такое видел, где нувиде блоб имел переключатель динамического диапазона аля 16-235 (совместимость c CRT мониторами), и некоторые программы выставляли почему то именно 16-235.

3.31, vz_2 (?), 13:42, 11/02/2021 [^] [^^] [^^^] [ответить]	+/–
Проверить легко.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: