Почему-то совершенно тихим для Хабра оказался релиз Google Chrome 21, в котором разработчики проекта Chromium заявили о повышении безопасности среды выполнения Adobe Flash Player, интегрированной в дистрибутив браузера.
Кроме того, руководство Google объявило об увеличении вознаграждений представителям сообщества Chromium за выявленные уязвимости, а также объявило о начале подготовки к конкурсу по демонстрации взлома браузера.
Призовой фонд установлен в размере $2 млн, а максимальное вознаграждение — $60 тыс.
Adobe Flash Player
В августе 2009 года Google объявила о начале нового проекта — API-интерфейса Pepper Plugin API для включения плагинов.Этот интерфейс должен был заменить механизм NPAPI, который Google посчитал устаревшим.
Суть перспектив Google была описана как более стабильная работа за счет разделения процессов и полной кроссплатформенности модулей.
В Мозиллу от этой идеи отказался , и поисковый гигант упорно придерживался своей линии.
В 2010 году в Chrome была реализована поддержка самого PPAPI, а в августе этого года два модуля — Adobe Flash и Pepper PDF Reader — полностью работоспособны в рамках этого интерфейса.
Вспышка вызвала самые большие проблемы.
Во-первых, работу по разработке самого модуля на основе PPAPI должна была взять на себя Adobe, а вот оптимизацию и безопасность — Google. Это существенно усложнило разработку, в результате чего процесс оказался довольно длительным, с большим количеством работы и компромиссов.
Главным приоритетом Google было перенести выполнение подключаемого модуля в «песочницу».
И если бы команда Chrome работала только над одной ОС, это не вызвало бы никаких проблем, но учитывая, что Chrome работает на 3 платформах (GNU/Linux, OS X и MS Windows) и целом зоопарке систем, это породило множество проблем.
подводных камней, которые были успешно преодолены: в августе все пользователи всех систем GNU/Linux и Windows получают изолированный Flash Player. Разработчики особенно гордятся тем, что миллионы пользователей Chrome, работающих под управлением Windows XP, могут быть уверены в том, что важные технологии безопасности, такие как АСЛР И ВПК , которые были анонсированы только в Windows Vista. Использование песочницы практически исключает возможность атаки через модуль Flash Player с использованием уязвимости архитектуры системы.
Кроме того, помимо улучшений безопасности, использование PPAPI позволило:
- Использовать Полное аппаратное ускорение Flash-контента на графическом процессоре.
- Уменьшите количество сбоев Flash Player по сравнению с реализациями NPAPI на 20 % ( хотя по количеству жалоб на сбои Flash на форумах и специализированных группах в соцсетях этого не скажешь )
- Разрешает пользователям Chrome работать в режиме Metro ( Современный режим сейчас? ) Windows 8 использует такие плагины.
Другие сторонние браузеры не могут этого сделать из-за использования NPAPI.
- Пользователи GNU/Linux получат последние обновления Flash Player. Другие браузеры смогут использовать только версию 11.2.
Награды и конкурс
Google в своем заявлении об увеличении выплат за обнаруженные уязвимости обосновывает свое решение тем, что поиск дыр в последнее время усложнился и требует от исследователя больше усилий, поэтому эти усилия должны быть оправданы и повышена мотивация.Поэтому за поиск уязвимостей Google дает бонус от $1000 до неустановленного лимита.
Кроме того, для выявления особо экзотических уязвимостей можно получить легендарные награды (на данный момент такие уязвимости отмечены на $10 тыс.
).
Эти ошибки включают в себя:
- Уязвимости драйверов NVIDIA, AMD и Intel. Требуется выполнение кода с веб-страницы.
Также рассматриваются приложения для Chrome OS.
- Уязвимости, связанные с повышением привилегий, возникающие при компрометации ядра Linux в Chrome OS. Использование урезанного и модифицированного ядра Linux добавляет исследователю дополнительную сложность.
- Уязвимости в библиотеке libjpg. Разработчики недовольны тем, что уже давно не было атак на ядро через уязвимости в этом компоненте.
- 64-битные эксплойты.
Любое выполнение кода, даже не выходя из песочницы, подлежит повышенному вознаграждению.
Что касается конкуренции Пвний 2 , затем в октябре 2012 года на конференции ХИТБ исследователи смогут продемонстрировать уязвимости в Google Chrome, за что могут получить вознаграждение до $60 тысяч.
Общий призовой фонд составляет 2 миллиона долларов.
Обо всех подробностях читайте в специальная запись .
Источники: 1. Крис Эванс , Путь к более безопасному, стабильному и яркому Flash .
2. Крис Эванс , Программа вознаграждений за уязвимости Chromium: более крупные награды .
Теги: #Google #Google Chrome #adobe #adobe flash player #flash player #pwnium #информационная безопасность #Google Chrome
-
Контекстная Реклама Через Блоггинг
19 Oct, 24 -
Effelogger Или Тот Самый «Пинарик»
19 Oct, 24 -
Бессмертная Улитка
19 Oct, 24 -
Рубиновый Встроенный
19 Oct, 24
