Статьи

Google протестувала веб-браузери на безпеку: у Safari найбільше вразливостей в DOM-движку

25 Сентября, 2017, 12:00

7556

Команда експертів Google вразливостей нульового дня ( «Проект Зеро») проаналізувала найпопулярніші браузери на уразливості в DOM-двигунах. Найгірший результат показав браузер компанії Apple - Safari, в якому знайшли 17 вразливостей. Найбезпечнішим виявився рідний Chrome - в ньому вдалося знайти тільки два бага. Результати дослідження опублікував розробник Google Project Zero Іван Фратріч в блозі підрозділу.

Тестування проводилося за допомогою утиліти Domato, яку Фратріч розробив спеціально для тестування DOM-движків. Це фаззінга-інструмент для тестування безпеки, передає досліджуваного додатком випадковий набір даних і аналізує аномалії вихідних даних.

Команда вибрала п'ять браузерів: Google Chrome, Mozilla Firefox, Internet Explorer, Microsoft Edge і Safari від Apple. Було проведено приблизно сто мільйонів тестів за допомогою Domato. Результати показали, що найбільш безпечними є перші три.

Результати показали, що найбільш безпечними є перші три

* Всього було виявлено 33 багкейса, але два бага знайшлися в декількох браузерах

** Основна причина однієї з помилок, виявлених в Mozilla Firefox, була в графічній бібліотеці Skia, а не в коді Mozilla. Але, оскільки відповідний код був внесений інженерами Mozilla, справедливо його враховувати

Результати показали, що Safari володіє найгіршим DOM-движком з 17 помилками системи безпеки. На другому місці з кінця розташувався Edge c 6 проблемами.

Google повідомила про знайдені помилки розробникам кожного з браузерів і надала їм копії Domato, щоб кожен міг самостійно виконати більш великі тести своїх продуктів. Вихідний код Domato також опублікували на GitHub, щоб їм міг скористатися кожен бажаючий або адаптувати його для роботи з іншими додатками, а не тільки з DOM-двигунами веб-браузерів.

Фратріч підкреслив, що даний експеримент фокусується на безпеки тільки одного компонента (DOM-движка), тому не можна сприймати його результати як показник безпеки браузерів в цілому. Хоча історично уразливості в DOM і були джерелом безлічі проблем з безпекою. «У цьому експерименті не враховуються інші аспекти, такі як наявність та безпеку« пісочниці », помилки в інших компонентах, таких як скріптові двигуни і т. Д. Я також не можу ігнорувати можливість того, що в DOM мій фаззер краще знаходить певні типи проблем , що може вплинути на загальну статистику », - написав розробник.

DOM-движки - це компоненти браузера, які читають HTML-код і організують його в Document Object Model (об'єктна модель документа), яка потім промальовується і виводиться у вікні браузера у вигляді зображення, яке користувачі і бачать на своїх екранах. За словами Фратріча, розробники рідко випускають оновлення, в яких не містяться виправлення критичних проблем в DOM-двигунах, тому проблема досить масштабна. Особливо з огляду на той факт, що після остаточної відмови від технології Flash в 2020 році, яка несе пальму першості по експлуатованих вразливості, DOM-движки стануть одним з основних об'єктів атак зловмисників.

Нагадаємо, творець Opera звинуватив Google в перешкоджанні розвитку Opera і Vivaldi.

Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Помітили помилку?

Новости

Арт-терапия в педагогике
Ещё в 1927 году германский психиатр А. Кронфельдом смог обосновать необходимость тесноватого взаимодействия психотерапии и педагогики. Свои идеи он выложил в научной статье “Психогогика, или  Психотерапевтическое

Автозапчасти mercedes-benz
С каждым годом растет количество игроков на автомобильном рынке. Японцы, корейцы, китайцы уже становятся законодателями мод на наших дорогах. Но многим автомобилистам по прежнему дороги мерседесы и форды,

Поставки насосного оборудования
Москва, 20 сентября. /ТАСС/. АО "ОКБМ Африкантов" (заходит в машиностроительный дивизион Росатома - "Атомэнергомаш") прошло аудиторскую проверку на готовность к поставке оборудования для нужд "Газпрома",

Купить iPhone 5s
21 марта 2016 года Apple представила усовершенствованную версию пользующегося популярностью телефона купить iPhone 5s — iPhone SE. «В 2-ух словах» разницу меж ними обычно обрисовывают так: снаружи новинка

Массовка для сьемок киев
Приглашаем поучаствовать в увлекательном проекте парней и дам от 16 до 55 лет готовых провести на съемочной площадке оба денька! Оплата настоящая потому что массовка первого плана(вероятны высказывания)Заявки

50 дней хостинга в подарок
Замечательный хостинг, подходит для тех, у кого несколько сайтов, например у нас 5 сайтов и стоимость всего 299 р/месяц. Для тех, у кого один сайт, вообще цена 99 р/месяц. Мне кажется, дешевле уже просто

Купить осаго
Реальным даю согласие ООО «Сравни.ру», место нахождения: 109544, г. Москва, бульвар Энтузиастов, дом 2, 26 этаж, на обработку моих индивидуальных

Создание сайтов
Свой веб-сайт сегодня не роскошь, а средство продвижения продуктов и услуг! Юзеры веба временами заходят на разные веб-сайты, читают, изучают и рассматривают их. Так почему бы эти веб-сайты не будут вашими.

Лодочные моторы в Тольятти
Новый лодочный мотор нуждается в правильной обкатке. Это условие касается и мотора марки “Ветерок” казанского завода и титулованого “Меркурия”, американо-японского производства. От того как лодочный мотор

Заказать Блиц-проект интерьеров любой степени сложности в любом регионе
Настал тот самый страшны момент - необходимость делать ремонт. Жена настаивает категорически. С чего ремонт начинается? С выбора "чего хочу". Как я задолбался кататься по магазинам: Леруа, Очаг, Куприян,