1 คะแนน โดย GN⁺ 2025-08-12 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • คณะกรรมการรางวัล VRP ของ Chrome ได้ตัดสินรางวัล 250,000 ดอลลาร์สหรัฐ ให้กับรายงานช่องโหว่ความปลอดภัยล่าสุด
  • ช่องโหว่ที่รายงานคือ บั๊กของคอมโพเนนต์ ipcz โดยตัวเรนเดอร์สามารถทำซ้ำ handle ของกระบวนการบราว์เซอร์ได้ และอาจนำไปสู่ sandbox escape
  • ประเด็นที่เกี่ยวข้องถูกชี้ไว้ในส่วน Chromium ของ Internals>Mojo>Core
  • ช่องโหว่นี้อาจเพิ่มความเสี่ยงต่อ ภัยคุกคามด้านความปลอดภัย ของผู้ใช้
  • ช่องโหว่นี้กำลังอยู่ในขั้นตอน การแก้ไขผ่านการเปลี่ยนโค้ด

ภาพรวมประเด็นหลัก

  • ขณะนี้มีการรายงานช่องโหว่ความปลอดภัยที่ร้ายแรงมากในโครงการ Chromium
  • ช่องโหว่นี้เกิดจากข้อบกพร่องใน คอมโพเนนต์ ipcz โดยตัวเรนเดอร์ซึ่งควรอยู่ภายใน sandbox สามารถคัดลอก handle ของกระบวนการบราว์เซอร์ และอาจหลุดออกจากสภาพแวดล้อมกักกันด้านความปลอดภัยได้
  • พฤติกรรมเช่นนี้โดยพื้นฐานเป็นการคุกคามต่อโครงสร้าง sandbox ของเบราว์เซอร์

ความหมายของการตัดสินรางวัล Chrome VRP

  • คณะกรรมการ Chrome Vulnerability Reward Program (โปรแกรมรางวัล) ตัดสินให้จ่ายรางวัล 250,000 ดอลลาร์สหรัฐ สำหรับรายงานช่องโหว่นี้
  • การตัดสินใจนี้สะท้อนถึงความรุนแรง ความยากในการค้นพบ และผลกระทบของช่องโหว่นี้
  • เป็นตัวอย่างที่แสดงถึงความมุ่งมั่นในการให้รางวัลต่อการรายงานช่องโหว่ที่มีความสำคัญด้านความปลอดภัย
โฆษณา

การจัดการประเด็นภายใน

  • ประเด็นนี้อยู่ในการจัดการภายใต้หมวด Internals>Mojo>Core และ Internals>Mojo
  • มีการเปลี่ยนแปลงโค้ดที่เกี่ยวข้องหลายส่วน รวมถึงการคอมมิตโค้ดบางส่วนใน Gerrit
  • ยังมีขั้นตอนการตรวจสอบเอกสารการออกแบบและการตรวจทานเชิงรูปแบบอื่นๆ ที่ดำเนินการอยู่

แพตช์และผลกระทบ

  • ประเด็นที่เกี่ยวข้องกำลังอยู่ในขั้นตอนการแก้ไขผ่านการเปลี่ยนโค้ดโดยการ แพตช์
  • ประเด็นนี้ส่งผลต่อ milestone การเผยแพร่หลายรายการใน Chromium และมี ความสำคัญสูง สำหรับการอัปเดตด้านความปลอดภัย
  • มีความเสี่ยงที่บั๊กนี้จะทำให้ชั้นป้องกันความปลอดภัยของระบบผู้ใช้งานถูกทำลายลง

ประเด็นที่เกี่ยวข้องและการตอบสนองของระบบ

  • มีการสร้างบันทึก IRM (Incident Response Management) สำหรับประเด็นนี้แล้ว
  • ข้อมูลเชิงลึกของบั๊กนี้ถูกติดตามและควบคุมการเข้าถึงผ่านระบบภายในต่างๆ ที่เกี่ยวข้องกับ การเปลี่ยนโค้ดที่สร้างขึ้นอัตโนมัติ, ปัญหาความปลอดภัยที่เกี่ยวข้อง, การทบทวนการออกแบบ, และ การจัดการการปล่อย เป็นต้น
  • ต้องมีการเผยแพร่ แพตช์ความปลอดภัย และแจ้งข่าวสารอย่างรวดเร็วและมีประสิทธิภาพให้กับชุมชนและผู้ใช้

1 ความคิดเห็น

 
GN⁺ 2025-08-12
ความคิดเห็นจาก Hacker News
  • ผู้แสดงความคิดเห็นเห็นว่าตนเองมี exploit ที่ค่อนข้างน่าเชื่อถือในเบราว์เซอร์ที่ใช้กันมากที่สุด และคิดว่าหากขายผ่านตลาดมืดคงได้รายได้มากกว่านี้โดยไม่ต้องเสียภาษี
    เครื่องมือรักษาความปลอดภัยอย่าง EDR (Endpoint Detection and Response) ถูกใช้งานอย่างกว้างขวาง จึงมีโอกาสที่ exploit จะถูกจับได้เร็วขึ้น แต่ยังมีบางคนมองว่าหน่วยข่าวกรองของบางรัฐบาลเผด็จการอาจเห็นว่าการแฮ็กลักษณะนี้คุ้มค่า
    • มีคำถามว่าขายผ่านตลาดมืดแล้วได้มากขึ้นโดยไม่เสียภาษีจริงหรือไม่ และก็ไม่รู้ว่าจะหาอาชญากรที่เชื่อถือได้ได้ที่ไหน การทำธุรกรรมแบบนี้ต้องอาศัยความไม่เปิดเผยตัวตนและความไว้วางใจร่วมกัน แต่แม้ได้เงินแล้วก็อาจมีความเสี่ยงอย่างเช่นการบลัคเมลล์ และการซ่อนเงินจำนวนมากก็ไม่ง่าย จึงสงสัยว่าขาย exploit อย่างปลอดภัยได้อย่างไร นอกจากนี้ การขายแบบนี้ยังทำให้ไม่สามารถโพสต์บนบล็อกตัวเอง และไม่สามารถให้ researcher หรือ recruiter รู้จักชื่อตัวเองได้ จึงกระทบด้านอาชีพและชื่อเสียง
    • มีคนกล่าวว่าไม่ใช่ว่าเมื่อขายในตลาดมืดแล้วจะได้มากขึ้นโดยไม่ต้องเสียภาษีเสมอไป หากเงินจำนวนมากไหลเข้าบัญชีธนาคารในภายหลัง ก็ยิ่งถูกจับตามอง ต้องทำขั้นตอนเหมือนชำระภาษีรวมถึงฟอกเงิน และจ่ายค่าตอบแทนให้ผู้ให้บริการ ซึ่งเทียบได้กับการเสียภาษีซ้ำ คริปโทก็เช่นกัน ต้องแสดงหลักฐานว่าถูกขุดมา จึงไม่ใช่ทางออกที่ง่ายๆ
    • หลายคนมองแค่มูลค่าจึงขาดมิติด้านศีลธรรม เพราะผลกำไรที่คาดหวังอาจเปิดโอกาสให้ผู้กระทำความผิดจำนวนมากสร้างความเสียหายแก่ผู้คนนับล้าน
    • การขายในตลาดมืดแล้วจะได้เงินมากขึ้นและไม่เสียภาษีไม่ใช่เรื่องแน่นอนเสมอ มีการแชร์สไลด์ที่ 72 จาก การประกาศ ซึ่งระบุว่าการหลบเลี่ยงหรือหลุด sandbox ของ Chrome มีรางวัลสูงสุดทางการได้ถึง 200,000 ดอลลาร์ งานนำเสนอนี้อยู่บน GitHub แต่ตอนนี้ GitHub down จึงมีลิงก์ reddit เสริม
    • ชนิดช่องโหว่แบบนี้เป็นหนึ่งในไม่กี่กรณีที่ยังมี “liquid market” โดยเฉพาะช่องโหว่เหล่านี้สามารถขายซ้ำได้ และยังมีบริษัทผู้เชี่ยวชาญที่ทำการขายให้หน่วยข่าวกรองระดับชาติหรือหน่วยบังคับใช้กฎหมายด้วย
  • เมื่อเป็น sandbox escape และรายงานคุณภาพสูงใน Chrome ค่า reward คือ 250,000 ดอลลาร์
    Mozilla ให้เพียง 20,000 ดอลลาร์สำหรับช่องโหว่ประเภทเดียวกัน โดยอ้าง กฎทางการ, Mozilla Bug Bounty
    • ตามข้อมูลในวิกิพีเดีย ตัวเลขนี้เท่ากับ 0.012% ของกำไรสุทธิ Mozilla
      ในคอมเมนต์มีคนว่า การเปรียบเทียบแบบนี้อาจไม่เหมาะสม แต่เมื่อคิดเป็นเปอร์เซ็นต์แล้วพบว่า Google สูงสุดมากกว่า 50 เท่า จึงถือว่าพอสมควร (คำนวณผิดครั้งแรก ตอนนี้แก้แล้วว่าเป็น 0.012% — 20,000 ดอลลาร์คือ 0.012% ของ 157,000,000 ดอลลาร์ หรือมากกว่าเปอร์เซ็นต์ของ Google ถึง 50 เท่า)
    • Chrome มีผู้ใช้มากกว่า Firefox ถึง 15~20 เท่า ทำให้ราคาบั๊กในตลาดมืดสูงขึ้นตามสัดส่วนเช่นกัน Safari อาจมีราคาสูงกว่าอีก เพราะผู้ใช้มีฐานะค่อนข้างสูงและไม่ค่อยให้ความสำคัญกับความปลอดภัย
    • เมื่อเทียบฐานะการเงิน Google ทำเงินได้มากกว่า Mozilla อย่างชัดเจน
    • มีคนอยากทำแพโรดีว่า ถ้าคนเป็น CEO ของ Mozilla ใน HN ทุกคนก็คงได้แสดงความเห็นในสิ่งที่ตัวเองอยาก ภาพในจินตนาการคือการเข้าออฟฟิศอย่างจริงจัง โต้เถียงนโยบายที่ตัวเองชอบที่สุด (ความเป็นส่วนตัว, เสริมมาตรฐานเว็บ, ปรับความเร็ว, เพิ่มรางวัล bug bounty ฯลฯ) อย่างแข็งขัน ขณะเดียวกันพื้นหลังเป็นวิดีโอนิ่งช้าพร้อมเส้นสีแดงของรายได้ที่ตกลงไปเรื่อยๆ
    • ในตลาดเทาก็เช่นกัน ช่องโหว่ของ Firefox ได้รางวัลลดลงมากทั้งด้านอุปสงค์และอุปทาน
  • มีคอมเมนต์ที่เห็นข้อความ “เผยเฉพาะในสัปดาห์นี้ จึงเปิดเรื่องไว้ก่อน 5 วัน” และรู้สึกเหมือนโบกมือทักทายแบบเชื่อมโยงกับ Defcon
  • ขอย้ำว่าบั๊กนี้เป็นประเด็น logic/timing และการเขียนด้วย Rust อย่างเดียวไม่ได้ทำให้กันได้
  • มีคำถามว่ามีเอกสารไหนอธิบายให้เข้าใจง่ายว่า sandbox escape คืออะไร โดยเฉพาะสำหรับคนที่ไม่ค่อยรู้จัก ‘renderer’, ‘native API’ และ ‘sandbox’ ในเบราว์เซอร์บ้าง
    • โดยสรุป ขั้นแรกคือการยึด renderer process ผ่าน bug ใน JavaScript engine เป็นต้น และแม้ในขั้นนี้ renderer ก็ยังคงอยู่ใน sandbox ส่วน bug ในโพสต์นี้คือขั้นที่ 2 (การหนี sandbox) patch.diff ที่เผยแพร่ออกมาเป็น patch สำหรับจำลอง renderer process ที่ถูกแฮกแล้ว
  • ลิงก์คอมเมนต์เรื่อง reward อยู่ ที่นี่
  • มีคนแสดงความรู้สึกว่ามันคือเงินก้อนใหญ่ที่อาจเปลี่ยนชีวิต และดีใจที่เห็นรางวัลขนาดนี้
    • ที่ผู้เขียนอาศัยอยู่ ตัวเลขนี้ก็ยังไม่พอซื้อห้องสตูดิโอหนึ่งห้องในเมืองหลวงได้ แม้ไม่มีภาษีก็ตาม
    • ตอนรับโบนัส 240,000 ดอลลาร์ครั้งแรก คิดว่าชีวิตจะเปลี่ยน แต่หักภาษีไป 100,000 ดอลลาร์ทันที หลังจากจ่ายค่าเช่ารถ/ค่าน้ำมัน? รหัสอาจตีความว่า ต้นทุนรถ 20,000 ดอลลาร์แล้ว ยังแทบทำอะไรได้มาก ราคาบ้านใน LA/SF/NYC สูงมากไม่พอ และเงินยังไม่พอเริ่ม startup ถ้ากลับไปเป็นนักศึกษาอาจอยู่ได้ 2~3 ปี แต่ตอนนั้นอายุ 34 ปีแล้ว จึงยากมากที่จะย้อนกลับไปใช้ชีวิตแบบนักศึกษา สุดท้ายความเปลี่ยนแปลงใหญ่ๆ ไม่เกิด แม้จะได้เงินก้อนนี้ก็ดีใจและขอบคุณ แต่ประสบการณ์นี้ยังไม่ทำให้ชีวิตเปลี่ยนตามที่คาด เหตุการณ์นี้เกิดขึ้นเมื่อ 25 ปีที่แล้ว และตอนนี้ไม่ว่าจะอยู่เมืองใดในทั้ง 3 เมืองนี้ 1000000 ดอลลาร์ (หลังหักภาษีเหลือ 600,000) ก็ไม่ใช่ตัวเปลี่ยนชีวิต อย่างน้อยอาจช่วยจ่ายค่ามัดจำบ้านหรือค่าเรียนมหาวิทยาลัยลูกได้ แต่ความอิสระที่หวังไว้ก็ยังไม่เกิด
    • ความหมายของจำนวนเงินนี้ขึ้นกับที่อยู่อาศัย ในประเทศพัฒนาแล้ว $250,000 อาจไม่ใช่เงินที่เปลี่ยนชีวิตได้ และอาจเป็นเงินที่ช่วยลดความกังวลชั่วคราวเท่านั้น หลังหักภาษีแล้วก็มักไม่ถึงขั้นซื้อบ้านได้
  • รู้สึกทึ่งที่การค้นหาบั๊กในโปรเจกต์ขนาดใหญ่แบบนี้ ต้องยากมากจนเหมือนหาหัวเข็มในกองหญ้า
    • โปรเจกต์ใหญ่มากและซับซ้อนยิ่งมีโค้ดมากและบั๊กมาก จึงอาจหา issue ได้ง่ายกว่าของเล็ก แต่ sandbox escape ที่ร้ายแรงแบบนี้กลับหายากมากเพราะนโยบายรางวัลระดับโปรของ Google ทำให้คนจำนวนมากได้วิเคราะห์ด้วยมือและอัตโนมัติ (รวมถึง fuzzer) มาแล้วมากมาย ปี 2014 เคยเจอบั๊กใน Chrome แบบสุ่ม (ไม่ใช่ตั้งใจหา แค่เขียน JS แล้วพบปัญหา) และเมื่อรายงานก็ได้รางวัล 1,500 ดอลลาร์ เขาเล่าว่าทำได้ประมาณ 30 นาที ลิงก์ที่เกี่ยวข้อง
    • ในทางกลับกัน โปรเจกต์ใหญ่ก็อาจหาง่ายกว่าเพราะมีปฏิสัมพันธ์แปลกๆ ระหว่างคอมโพเนนต์มาก จุดสำคัญคือต้องโฟกัสที่การตัดกันด้านความปลอดภัยที่สำคัญ (ครั้งนี้คือการสื่อสารระหว่าง renderer กับ broker) แล้วเจาะ edge case ให้ลึก Google จ่ายเงินกับบั๊กประเภทนี้ จึงมีรางวัลสูงเมื่อพบ แน่นอนว่าปัจจุบันยังต้องอาศัยทักษะของนักวิจัยสูงมากจึงจะหาได้
  • ความเร็วในการจ่ายรางวัลก็ชัดเจนน่าทึ่ง ได้รับรางวัลภายในราว 4 สัปดาห์ ในขณะที่หลายบริษัทใช้เวลาหลายเดือนกว่าที่จะยืนยัน bug report
  • หาก DOJ บังคับให้แยก Chrome ออกและเกิดโครงสร้างผู้เป็นเจ้าของใหม่ จะยังคงมี bug bounty ระดับนี้ต่อเนื่องได้หรือไม่เป็นข้อสงสัย