Google vysvetľuje zvýšený počet zneužití vo voľnej prírode

Zdá sa, že v nedávnych blogoch prehliadača Chrome pribúda výraz „využívanie CVE-1234-567 existuje vo voľnej prírode“. Pre väčšinu používateľov prehliadača Chrome je to pochopiteľne alarmujúce. Napriek tomu, že nárast využívania môže byť skutočne znepokojujúci, Chrome Security vysvetlil, že tento trend by mohol naznačovať aj zvýšenú viditeľnosť využívania. Takže, čo to je? 

Tento trend je pravdepodobne spôsobený oboma dôvodmi Adrian Taylor z Chrome Security na blogu objasniť niektoré mylné predstavy o tom. 

Project Zero vystopoval všetky zistené v divočine zero-day chyby pre prehliadače, vrátane WebKit, Internet Explorer, Flash, Firefoxa Chrome.

Nárast týchto zneužití v prehliadači Chrome je pomerne zreteľný od roku 2019 do roku 2021. Naopak, v období rokov 2015 až 2018 neboli v prehliadači Chrome zaznamenané žiadne chyby zero-day. Zabezpečenie Chrome objasňuje, že to nemusí znamenať, že došlo k úplnému „žiadnemu“ zneužívaniu. v prehliadačoch založených na prehliadači Chromium počas týchto rokov. Uznáva, že nemá úplný prehľad o aktívnom využívaní a dostupné údaje môžu mať skreslenie vzorkovania.   

Tak prečo je teraz veľa exploitov? Zabezpečenie Chrome to pripisuje štyrom možným dôvodom: transparentnosť dodávateľa, rozvinuté zameranie na útočníkov, dokončenie projektu Site Isolation a vzťah zložitosti k softvérovým chybám. 

Po prvé, mnohí tvorcovia prehliadačov teraz zverejňujú podrobnosti o takýchto zneužitiach prostredníctvom svojej správy o vydaní. V minulosti to nebola prax, keď tvorcovia prehliadačov neoznámili, že došlo k napadnutiu chyby, aj keď o tom vedeli.

Po druhé, existuje vývoj v zameraní útočníka. Začiatkom roku 2020 Edge prešiel na vykresľovacie jadro Chromium. Prirodzene, útočníci idú na najobľúbenejší cieľ, pretože potom by mohli zaútočiť na viac používateľov.   

Po tretie, nárast chýb môže byť spôsobený nedávnym dokončením viacročného projektu Site Isolation, v dôsledku čoho jedna chyba takmer nestačí na to, aby spôsobila veľa škody. Útoky v minulosti, ktoré vyžadovali iba jednu chybu, teraz potrebovali viac. Pred rokom 2015 bolo viacero webových stránok iba v jedinom procese vykresľovania, čo umožnilo ukradnúť údaje používateľov z iných webov iba s jedinou chybou. S projektom Site Isolation potrebujú sledovači reťaziť dve alebo viac chýb, aby ohrozili proces vykresľovania a skočili do procesu prehliadača Chrome alebo operačného systému.  

Nakoniec to môže byť spôsobené jednoduchou skutočnosťou, že softvér má chyby a zlomok z nich by sa dal zneužiť. Prehliadače odrážajú zložitosť operačného systému a vysoká zložitosť sa rovná väčšiemu počtu chýb. 

Tieto veci znamenajú, že počet zneužitých chýb nie je presným meradlom bezpečnostného rizika. Tím Chrome však ubezpečuje, že pred vydaním usilovne pracuje na detekcii a oprave chýb. Čo sa týka n-dňových útokov (využívanie chýb, ktoré už boli opravené), došlo k výraznému zníženiu ich „opravnej medzery“ z 35 dní v prehliadači Chrome (76 na 18 dní v priemere). Tiež sa tešia na ďalšie zníženie tohto. 

Chrome si však uvedomil, že bez ohľadu na rýchlosť, akou sa pokúšajú napraviť zneužitie vo voľnej prírode, sú tieto útoky zlé. Ako takí sa naozaj veľmi snažia, aby bol útok pre nepriateľa drahý a komplikovaný. Medzi konkrétne projekty, ktoré Chrome prijíma, patrí neustále posilňovanie izolácie stránok, špeciálne pre Android, V8 haldové pieskovisko, Projekty MiraclePtr a Scan, jazyky bezpečné pre pamäť pri písaní nových častí prehliadača Chrome a zmierňovaní následkov po exploatácii.  

Chrome usilovne pracuje na zaistení bezpečnosti prostredníctvom týchto hlavných projektov bezpečnostného inžinierstva. Používatelia však môžu urobiť niečo jednoduché, aby pomohli. Ak vás Chrome upozorní na aktualizáciu, urobte to.