В основе Google Chrome и Microsoft Edge, Chromium, в последнее время наблюдается рост количества «нулевых» уязвимостей, активно используемых в реальных условиях. Сегодня Google объяснила, что стоит за этой тенденцией в браузерах, а также какие функции безопасности Chrome использует для противодействия ей.
Данные, собранные командой Google Project Zero — включая подробную электронную таблицу — показывают, что количество уязвимостей нулевого дня, нацеленных на Chrome, увеличилось с 2019 года. Команда безопасности Chrome указывает на четыре основные причины этой тенденции: от возросшей прозрачности поставщиков до того, как «браузеры всё больше отражают сложность операционных систем» с расширенными возможностями, такими как доступ к оборудованию.
Ещё одна важная причина заключается в том, что злоумышленники теперь атакуют браузеры напрямую после прекращения поддержки Flash. Chromium находится под особым прицелом, поскольку он теперь лежит в основе как Chrome, так и Microsoft Edge, что позволяет использовать уязвимости для атаки на большее число пользователей. Последняя причина, которую Google приводит, состоит в том, что «некоторые атаки, которые ранее могли быть выполнены с помощью одной уязвимости, теперь требуют нескольких уязвимостей».
Например:
После того как многолетний проект Chrome по изоляции сайтов в основном завершен, одной уязвимости почти никогда не бывает достаточно, чтобы совершить что-либо по-настоящему плохое. Злоумышленникам часто требуется объединить по меньшей мере две уязвимости: во-первых, для компрометации процесса рендеринга, а во-вторых, для проникновения в привилегированный процесс браузера Chrome или непосредственно в операционную систему устройства. Иногда для достижения одного или обоих этих шагов требуется несколько уязвимостей.
В будущем Google стремится бороться с n-дневными атаками, использующими уязвимости, которые уже исправлены и, следовательно, видны в репозиториях открытого исходного кода, но всё ещё могут быть использованы, поскольку пользователи ещё не обновили Chrome. Их совет как конечным пользователям, так и IT-отделам — устанавливать обновления как можно скорее.
Мы значительно сократили наш «разрыв в патчах» с 35 дней в Chrome 76 до в среднем 18 дней в последующих версиях, и мы ожидаем, что это ещё немного сократится благодаря ускоренному циклу выпуска Chrome.
Другие текущие усилия включают усиление изоляции сайтов — особенно на Android — и добавление дополнительных уровней безопасности, которые требуют успешного использования дополнительных связанных уязвимостей. Это требует долгосрочных инженерных усилий, которые могут повлечь за собой компромиссы в производительности.
Полная запись в блоге представляет собой интересное чтение.