Google протестувала веб-браузери на безпеку: у Safari найбільше вразливостей в DOM-движку

25 Сентября, 2017, 12:00

7556

Команда експертів Google вразливостей нульового дня ( «Проект Зеро») проаналізувала найпопулярніші браузери на уразливості в DOM-двигунах. Найгірший результат показав браузер компанії Apple - Safari, в якому знайшли 17 вразливостей. Найбезпечнішим виявився рідний Chrome - в ньому вдалося знайти тільки два бага. Результати дослідження опублікував розробник Google Project Zero Іван Фратріч в блозі підрозділу.

Тестування проводилося за допомогою утиліти Domato, яку Фратріч розробив спеціально для тестування DOM-движків. Це фаззінга-інструмент для тестування безпеки, передає досліджуваного додатком випадковий набір даних і аналізує аномалії вихідних даних.

Команда вибрала п'ять браузерів: Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge і Safari від Apple. Було проведено приблизно сто мільйонів тестів за допомогою Domato. Результати показали, що найбільш безпечними є перші три.

Результати показали, що найбільш безпечними є перші три

* Всього було виявлено 33 багкейса, але два бага знайшлися в декількох браузерах

** Основна причина однієї з помилок, виявлених в Mozilla Firefox, була в графічній бібліотеці Skia, а не в коді Mozilla. Але, оскільки відповідний код був внесений інженерами Mozilla, справедливо його враховувати

Результати показали, що Safari володіє найгіршим DOM-движком з 17 помилками системи безпеки. На другому місці з кінця розташувався Edge c 6 проблемами.

Google повідомила про знайдені помилки розробникам кожного з браузерів і надала їм копії Domato, щоб кожен міг самостійно виконати більш великі тести своїх продуктів. Вихідний код Domato також опублікували на GitHub, щоб їм міг скористатися кожен бажаючий або адаптувати його для роботи з іншими додатками, а не тільки з DOM-двигунами веб-браузерів.

Фратріч підкреслив, що даний експеримент фокусується на безпеки тільки одного компонента (DOM-движка), тому не можна сприймати його результати як показник безпеки браузерів в цілому. Хоча історично уразливості в DOM і були джерелом безлічі проблем з безпекою. «У цьому експерименті не враховуються інші аспекти, такі як наявність та безпеку« пісочниці », помилки в інших компонентах, таких як скріптові двигуни і т. Д. Я також не можу ігнорувати можливість того, що в DOM мій фаззер краще знаходить певні типи проблем , що може вплинути на загальну статистику », - написав розробник.

DOM-движки - це компоненти браузера, які читають HTML-код і організують його в Document Object Model (об'єктна модель документа), яка потім промальовується і виводиться у вікні браузера у вигляді зображення, яке користувачі і бачать на своїх екранах. За словами Фратріча, розробники рідко випускають оновлення, в яких не містяться виправлення критичних проблем в DOM-двигунах, тому проблема досить масштабна. Особливо з огляду на той факт, що після остаточної відмови від технології Flash в 2020 році, яка несе пальму першості по експлуатованих вразливості, DOM-движки стануть одним з основних об'єктів атак зловмисників.

Нагадаємо, творець Opera звинуватив Google в перешкоджанні розвитку Opera і Vivaldi.

Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Помітили помилку?