В браузерах Mozilla Firefox и Google Chrome были исправлены критические уязвимости, которые были обнаружены хакерами на одном из китайских соревнований белых хакеров Tianfu Cup.
Хакерские состязания и уязвимости в Google Chrome и Firefox
Не так давно завершилось соревнование белых хакеров Tianfu Cup. Это одно из самых масштабных и престижных в Китае состязаний между асами в поиске уязвимостей в ПО и мобильных приложениях.
Если говорить на чистоту, то Tianfu Cup является заменителем Pwn2Own.
Pwn2Own – соревнование хакеров, которое ежегодно проводится в рамках конференции по информационной безопасности CanSecWest, начиная с 2007 года. Во время проведения конкурса участники ищут ранее неизвестные уязвимости в общедоступном и популярном ПО, а также на популярных мобильных устройствах.
Tianfu Cup создали в 2018 году после запрета со стороны китайского правительства участвовать местным аналитикам информационной безопасности в зарубежных хакерских конкурсах.
Как и на Pwn2Own, соревнование Tianfu Cup подразумевает, что белые шляпы (взломщики с добрыми побуждениями) ищут баги и сообщают разработчикам скомпрометированных продуктов об уязвимостях. В этом году спецам удалось скомпрометировать iOS, Windows 10, Safari, Chrome, Firefox и некоторых других.
Уязвимость в Firefox, получившая идентификатор CVE-2020-26950, описывается разработчиками браузера как проблема, связанная с use-after-free багом в MCallGetProperty. Недостаток был исправлен в составе Firefox 82.0.3, Firefox ESR 78.4.1 и Thunderbird 78.4.2
В свою очередь, уязвимость в Chrome, обнаруженная на Tianfu Cup, отслеживается как CVE-2020-16016. В Google ее описывают как некорректную имплементацию в компоненте base. Инженеры компании исправили баг обновлении для Chrome 86.
Наглядно продемонстрированы уязвимости CVE-2020-26950 и CVE-2020-16016 были на Tianfu Cup командой китайского технологического гиганта Qihoo 360. Эта команда стала победителем соревнований и выиграла 744 500 долларов, а это более 60% от общего призового фонда (он составил 1 210 000). Уязвимость в Firefox оценена в 40 000 долларов, а в Chrome 100 000 долларов.
Помимо прочего, после того, как 11 ноября 2020 года Google выпустила обновление браузера Chrome — версию 86.0.4240.198 для Windows, Mac и Linux. В этой сборке специалисты компании устранили две уязвимости нулевого дня — CVE-2020-16013 и CVE-2020-16017. Информацию об этих уязвимостях передали как раз именно в Google анонимные источники. За прошедшие три недели в коде браузера также были закрыты (в новых версиях браузера от 20 октября и 2 ноября) три уязвимости — CVE-2020-15999, CVE-2020-16009 и CVE-2020-16010. Они были обнаружены ранее специалистами из команды Google Project Zero и внутренней командой Google Threat Analysis Group (TAG).
Уязвимость нулевого дня, 0day (англ. zero day) — не устраненные уязвимости, а также вредоносные программы, против которых еще не разработаны защитные механизмы.
Google пояснила в своем описании новой версии браузера, что уязвимость CVE-2020-16013 связана с несоответствующей реализацией в V8, JavaScript движке Chrome. Вторая уязвимость CVE-2020-16017 обозначена как ошибка повреждения памяти при использовании данных после освобождения памяти (use after free) в компоненте браузера Chrome под названием Site Isolation. Этот элемент изолирует данные разных сайтов друг от дружки.
Google не уточнила подробности обнаружения двух новых уязвимостей и фактов их вероятного применения. Компания пообещала раскрыть информацию по ним после того, как большинство пользователей установят новое обновление браузера.
Примечательно, что ранее обнаруженная уязвимость нулевого дня CVE-2020-16009 также связана с работой движка JavaScript V8 Chrome. Используя эту уязвимость злоумышленники могли удаленно выполнить произвольный код в браузере. Причем Google пояснила, что зафиксировала факты применения эксплойтов, использующих эту уязвимость.
Интересные статьи:
