Google пояснює збільшення кількості експлойтів у дикій природі

Схоже, в останніх блогах Chrome збільшується кількість фрази «експлойт для CVE-1234-567 існує в дикій природі». Зрозуміло, це викликає тривогу для більшості користувачів Chrome. Однак, хоча збільшення експлойтів може справді викликати занепокоєння, Chrome Security пояснив, що ця тенденція також може свідчити про збільшення видимості експлуатації. Отже, що це? 

Тенденція, ймовірно, викликана обома причинами Адріан Тейлор із Chrome Security у блозі щоб прояснити деякі помилкові уявлення з цього приводу. 

Project Zero відстежив усі виявлені помилки нульового дня для браузерів, включаючи WebKit, Internet Explorer, Flash, Firefoxі Chrome.

Зростання цих операцій у Chrome досить помітне з 2019 по 2021 рік. Навпаки, з 2015 по 2018 рік у Chrome не було зафіксовано помилок нульового дня. Chrome Security уточнює, що це не означає, що не було абсолютно ніякої експлуатації. у браузерах на основі Chromium протягом цих років. Він визнає відсутність повного уявлення про активну експлуатацію, і доступні дані можуть мати зміщення вибірки.   

То чому зараз багато подвигів? Chrome Security пояснює це чотирма можливими причинами: прозорість постачальника, підвищена концентрація зловмисників, завершення проекту ізоляції сайту та зв’язок складності з програмними помилками. 

По-перше, багато виробників браузерів тепер публікують подробиці таких операцій у своїх повідомленнях про випуск. У минулому це не була практика, коли розробники браузерів не оголошували про атаку помилки, навіть якщо вони знали про це.

По-друге, відбувається еволюція у фокусі нападника. На початку 2020 року Edge перейшов на механізм візуалізації Chromium. Звичайно, зловмисники йдуть на найпопулярнішу ціль, тому що тоді вони можуть атакувати більше користувачів.   

По-третє, збільшення кількості помилок може бути пов’язано з нещодавнім завершенням багаторічного проекту ізоляції сайту, внаслідок чого однієї помилки майже не вистачає, щоб завдати великої шкоди. Таким чином, атаки в минулому, які вимагали лише однієї помилки, тепер потребували більше. До 2015 року кілька веб-сторінок використовувалися лише в одному процесі візуалізації, що дозволяло викрасти дані користувачів з інших мереж лише за допомогою однієї помилки. З проектом ізоляції сайту трекерам потрібно об’єднати дві чи більше помилок, щоб поставити під загрозу процес візуалізації та перейти до процесу браузера Chrome або операційної системи.  

Нарешті, це може бути пов’язано з тим простим фактом, що програмне забезпечення має помилки, і частина з них може бути використана. Браузери відображають складність операційної системи, а висока складність прирівнюється до більшої кількості помилок. 

Це означає, що кількість використаних помилок не є точним показником ризику безпеки. Команда Chrome, однак, запевняє, що вони наполегливо працюють над виявленням та виправленням помилок перед випуском. З точки зору атак n-ден (використання помилок, які вже були виправлені), відбулося помітне зменшення їхнього «розриву виправлення» з 35 днів у Chrome (76 до 18 днів у середньому). Вони також сподіваються на подальше зниження цього показника. 

Тим не менш, Chrome визнав, що незважаючи на швидкість, з якою вони намагаються виправити невиправдану експлуатацію, ці атаки погані. Таким чином, вони дуже намагаються зробити атаку дорогою та складною для противника. Конкретні проекти, які бере на себе Chrome, включають постійне посилення ізоляції сайту, особливо для Android, пісочниця купи V8, Проекти MiraclePtr і Scan, мови, безпечні для пам'яті написання нових частин Chrome і пом’якшення наслідків після експлуатації.  

Chrome докладає всіх зусиль, щоб забезпечити безпеку за допомогою цих великих інженерних проектів. Однак користувачі можуть зробити щось просте, щоб допомогти. Якщо Chrome нагадує вам про оновлення, зробіть це.