Google Chrome ตัดสินรางวัล 250,000 ดอลลาร์สำหรับรายงานช่องโหว่ความปลอดภัย
(issues.chromium.org)- คณะกรรมการรางวัล VRP ของ Chrome ได้ตัดสินรางวัล 250,000 ดอลลาร์สหรัฐ ให้กับรายงานช่องโหว่ความปลอดภัยล่าสุด
- ช่องโหว่ที่รายงานคือ บั๊กของคอมโพเนนต์ ipcz โดยตัวเรนเดอร์สามารถทำซ้ำ handle ของกระบวนการบราว์เซอร์ได้ และอาจนำไปสู่ sandbox escape
- ประเด็นที่เกี่ยวข้องถูกชี้ไว้ในส่วน Chromium ของ Internals>Mojo>Core
- ช่องโหว่นี้อาจเพิ่มความเสี่ยงต่อ ภัยคุกคามด้านความปลอดภัย ของผู้ใช้
- ช่องโหว่นี้กำลังอยู่ในขั้นตอน การแก้ไขผ่านการเปลี่ยนโค้ด
ภาพรวมประเด็นหลัก
- ขณะนี้มีการรายงานช่องโหว่ความปลอดภัยที่ร้ายแรงมากในโครงการ Chromium
- ช่องโหว่นี้เกิดจากข้อบกพร่องใน คอมโพเนนต์ ipcz โดยตัวเรนเดอร์ซึ่งควรอยู่ภายใน sandbox สามารถคัดลอก handle ของกระบวนการบราว์เซอร์ และอาจหลุดออกจากสภาพแวดล้อมกักกันด้านความปลอดภัยได้
- พฤติกรรมเช่นนี้โดยพื้นฐานเป็นการคุกคามต่อโครงสร้าง sandbox ของเบราว์เซอร์
ความหมายของการตัดสินรางวัล Chrome VRP
- คณะกรรมการ Chrome Vulnerability Reward Program (โปรแกรมรางวัล) ตัดสินให้จ่ายรางวัล 250,000 ดอลลาร์สหรัฐ สำหรับรายงานช่องโหว่นี้
- การตัดสินใจนี้สะท้อนถึงความรุนแรง ความยากในการค้นพบ และผลกระทบของช่องโหว่นี้
- เป็นตัวอย่างที่แสดงถึงความมุ่งมั่นในการให้รางวัลต่อการรายงานช่องโหว่ที่มีความสำคัญด้านความปลอดภัย
การจัดการประเด็นภายใน
- ประเด็นนี้อยู่ในการจัดการภายใต้หมวด Internals>Mojo>Core และ Internals>Mojo
- มีการเปลี่ยนแปลงโค้ดที่เกี่ยวข้องหลายส่วน รวมถึงการคอมมิตโค้ดบางส่วนใน Gerrit
- ยังมีขั้นตอนการตรวจสอบเอกสารการออกแบบและการตรวจทานเชิงรูปแบบอื่นๆ ที่ดำเนินการอยู่
แพตช์และผลกระทบ
- ประเด็นที่เกี่ยวข้องกำลังอยู่ในขั้นตอนการแก้ไขผ่านการเปลี่ยนโค้ดโดยการ แพตช์
- ประเด็นนี้ส่งผลต่อ milestone การเผยแพร่หลายรายการใน Chromium และมี ความสำคัญสูง สำหรับการอัปเดตด้านความปลอดภัย
- มีความเสี่ยงที่บั๊กนี้จะทำให้ชั้นป้องกันความปลอดภัยของระบบผู้ใช้งานถูกทำลายลง
ประเด็นที่เกี่ยวข้องและการตอบสนองของระบบ
- มีการสร้างบันทึก IRM (Incident Response Management) สำหรับประเด็นนี้แล้ว
- ข้อมูลเชิงลึกของบั๊กนี้ถูกติดตามและควบคุมการเข้าถึงผ่านระบบภายในต่างๆ ที่เกี่ยวข้องกับ การเปลี่ยนโค้ดที่สร้างขึ้นอัตโนมัติ, ปัญหาความปลอดภัยที่เกี่ยวข้อง, การทบทวนการออกแบบ, และ การจัดการการปล่อย เป็นต้น
- ต้องมีการเผยแพร่ แพตช์ความปลอดภัย และแจ้งข่าวสารอย่างรวดเร็วและมีประสิทธิภาพให้กับชุมชนและผู้ใช้
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
เครื่องมือรักษาความปลอดภัยอย่าง EDR (Endpoint Detection and Response) ถูกใช้งานอย่างกว้างขวาง จึงมีโอกาสที่ exploit จะถูกจับได้เร็วขึ้น แต่ยังมีบางคนมองว่าหน่วยข่าวกรองของบางรัฐบาลเผด็จการอาจเห็นว่าการแฮ็กลักษณะนี้คุ้มค่า
Mozilla ให้เพียง 20,000 ดอลลาร์สำหรับช่องโหว่ประเภทเดียวกัน โดยอ้าง กฎทางการ, Mozilla Bug Bounty
ในคอมเมนต์มีคนว่า การเปรียบเทียบแบบนี้อาจไม่เหมาะสม แต่เมื่อคิดเป็นเปอร์เซ็นต์แล้วพบว่า Google สูงสุดมากกว่า 50 เท่า จึงถือว่าพอสมควร (คำนวณผิดครั้งแรก ตอนนี้แก้แล้วว่าเป็น 0.012% — 20,000 ดอลลาร์คือ 0.012% ของ 157,000,000 ดอลลาร์ หรือมากกว่าเปอร์เซ็นต์ของ Google ถึง 50 เท่า)