Google, artan vahşi istismarları açıklıyor

Son Chrome bloglarında 'CVE-1234-567 için sömürü vahşi doğada var' ifadesinde bir artış var gibi görünüyor. Çoğu Chrome kullanıcısı için anlaşılır bir şekilde endişe verici. Ancak, açıklardan yararlanmalardaki artış gerçekten endişe verici olsa da, Chrome Security, bu eğilimin ayrıca istismara yönelik artan görünürlüğün göstergesi olabileceğini açıkladı. Peki, hangisi? 

Trend, muhtemelen her iki nedenden kaynaklanmaktadır. Bir blogda Chrome Güvenliğinden Adrian Taylor Bu konudaki bazı yanlış anlamaları açıklığa kavuşturmak için. 

Project Zero, WebKit, Internet Explorer, Flash, Firefox, ve Chrome.

Chrome'daki bu istismarlardaki artış, 2019'dan 2021'e oldukça dikkat çekicidir. Aksine, 2015'ten 2018'e kadar Chrome'da kaydedilmiş sıfır gün hatası olmamıştır. Chrome Security, bunun tamamen istismar olmadığı anlamına gelmeyebileceğini açıklar. bu yıllarda Chromium tabanlı tarayıcılarda. Aktif sömürünün tam bir görünümüne sahip olmadığını ve mevcut verilerin örnekleme yanlılığına sahip olabileceğini kabul eder.   

Peki şimdi neden bu kadar çok istismar var? Chrome Güvenliği bunu dört olası nedene bağlıyor: satıcı şeffaflığı, gelişmiş saldırgan odağı, Site İzolasyonu projesinin tamamlanması ve karmaşıklığın yazılım hatalarıyla ilişkisi. 

İlk olarak, tarayıcı üreticilerinin çoğu artık yayın iletişimleri aracılığıyla bu tür istismarların ayrıntılarını yayınlıyor. Tarayıcı üreticilerinin, bunun farkında olsalar bile, bir hatanın saldırıya uğradığını duyurmadığı geçmişte bu uygulama değildi.

İkincisi, saldırganın odağında bir evrim var. 2020'nin başlarında Edge, Chromium işleme motoruna geçti. Doğal olarak, saldırganlar en popüler hedefi seçer çünkü o zaman daha fazla kullanıcıya saldırabilirler.   

Üçüncüsü, hatalardaki artış, çok yıllı Site İzolasyonu projesinin yakın zamanda tamamlanmasından kaynaklanabilir ve bu da bir hatayı çok fazla zarar vermek için neredeyse yetersiz hale getirir. Bu nedenle, geçmişte yalnızca tek bir hata gerektiren saldırılar artık daha fazlasına ihtiyaç duyuyordu. 2015'ten önce, birden fazla web sayfası yalnızca tek bir oluşturucu sürecindeydi ve bu, kullanıcıların diğer web'lerdeki verilerini yalnızca tek bir hatayla çalmayı mümkün kılıyor. Site İzolasyonu projesi ile izleyicilerin, oluşturucu sürecini tehlikeye atmak ve Chrome tarayıcı işlemine veya işletim sistemine atlamak için iki veya daha fazla hatayı zincirlemeleri gerekir.  

Son olarak, bunun nedeni, yazılımın hataları olması ve bunların bir kısmının istismar edilebilmesi gibi basit bir gerçek olabilir. Tarayıcılar, işletim sisteminin karmaşıklığını yansıtır ve yüksek karmaşıklık daha fazla hataya eşittir. 

Bunlar, istismar edilen hataların sayısının güvenlik riskinin tam bir ölçüsü olmadığı anlamına gelir. Ancak Chrome ekibi, piyasaya sürülmeden önce hataları tespit etmek ve düzeltmek için çok çalıştıklarını garanti ediyor. N-günlük saldırılar (zaten düzeltilmiş olan hatalardan yararlanma) açısından, "yama boşluklarında" Chrome'da 35 günden (ortalama 76 ila 18 gün) belirgin bir azalma oldu. Ayrıca bunu daha da azaltmak için sabırsızlanıyorlar. 

Bununla birlikte, Chrome, vahşi istismarı düzeltmeye çalıştıkları hızdan bağımsız olarak, bu saldırıların kötü olduğunu kabul etti. Hal böyle olunca da saldırıyı düşman için pahalı ve karmaşık hale getirmek için gerçekten çok uğraşıyorlar. Chrome'un üstlendiği belirli projeler arasında Site İzolasyonunun sürekli olarak güçlendirilmesi, özellikle Android için, V8 yığın korumalı alanı, MiraclePtr ve Tarama projeleri, bellek için güvenli diller yeni Chrome parçalarının yazılmasında ve kullanım sonrası azaltıcı önlemlerde.  

Chrome, bu büyük güvenlik mühendisliği projeleri aracılığıyla güvenliği sağlamak için çok çalışıyor. Kullanıcılar yine de yardım etmek için basit bir şey yapabilirler. Chrome size güncelleme yapmanızı hatırlatıyorsa yapın.