«Очень простая» уязвимость на 16 000$

В конце 2023 года Всеволод Кокорин (Slonser), российский специалист по анализу защищенности из компании SolidLab, обнаружил уязвимость в браузере Google Chrome.

Команда безопасности Google оценила ее как недостаток высокого уровня критичности, что фактически является максимальным уровнем для багов, которые не приводят к исполнению кода на устройстве пользователя вне изоляции. Уязвимость позволяла исполнить JS-код на огромном количестве веб-ресурсов (например, Gitlab), что могло привести к утечке конфиденциальных данных пользователей.

Уязвимость появилась из-за другого патча безопасности, который был выпущен в марте 2020-го года, и оставалась актуальной до конца октября 2023-го.

С момента отправки первого отчета команде безопасности Google потребовалось менее трех недель, чтобы выпустить патч, закрывающий данную уязвимость и ряд других багов.

По словам исследователя из этой истории можно вынести несколько выводов:

• даже на уровне веб-стандартов могут существовать ошибки;
• в современных браузерах реализовано множество экспериментальных/не популярных Web API;
• Open Source не спасает. Данный недостаток находился 3 года в открытом доступе, но его не смогли исправить. При этом он имеет довольно простую эксплуатацию (В отличии от других багов в Chromium, которые зачастую бинарные);
• уязвимость не возникла бы, если бы разработчики не стали «навешивать» на готовые концепции новый функционал. Это хороший пример, к чему ведет метод «костыля и велосипеда».

Ознакомиться с полной версией исследования можно в блоге специалиста.