Исследователи обнаружили 11 глубоких уязвимостей безопасности в браузерах Chrome и Firefox

Исследователи из Georgia Tech находят дыры в безопасности браузеров Chrome и Firefox

Исследователи из Колледжа вычислительных технологий Технологического института Джорджии обнаружили 11 ранее не выявленных уязвимостей в двух самых широко используемых интернет-браузерах — Google Chrome и Mozilla Firefox.

Исследователи нашли эти дыры, глубоко зарытые в системе, с помощью нового метода анализа кибербезопасности.

За свои усилия они были награждены Премией за защиту Интернета, наградой, вручаемой Facebook в партнерстве с USENIX, на 24-м Симпозиуме по безопасности USENIX, который завершился 14 августа.

Студенты Ph.D. Бёнгён Ли и Ченгю Сонг, с профессорами Тэсу Кимом и Уэнке Ли из Georgia Tech, получили 100 000 долларов от Facebook для продолжения своих исследований и увеличения их влияния на безопасность Интернета.

Их исследование, “Проверка приведения типов: остановка нового вектора атак,” исследует уязвимости в C++ программах (таких как Chrome и Firefox), которые возникают из-за “плохого приведения” или “путаницы типов.” Плохое приведение позволяет злоумышленнику испортить память в браузере так, чтобы она следовала злонамеренной логике вместо правильных инструкций. Исследователи разработали новый, собственный инструмент обнаружения под названием CAVER, чтобы поймать их. CAVER — это инструмент обнаружения в реальном времени с накладными расходами от 7.6% до 64.6% на производительность браузеров (Chrome и Firefox соответственно).

11 уязвимостей, выявленных Georgia Tech, были подтверждены как Mozilla, так и Google, и оба браузера теперь были исправлены.

“Пришло время интернет-сообществу начать решать более сложные, глубокие проблемы безопасности,” говорит Уэнке Ли, профессор Школы компьютерных наук и советник команды. “Сообщество исследователей безопасности работало над различными способами обнаружения и исправления ошибок безопасности памяти на протяжении десятилетий и добилось успехов в решении проблем ‘переполнения стека’ и ‘переполнения кучи’, но эти проблемы стали относительно простыми. Наша работа изучала гораздо более сложные и глубокие ошибки — в частности ‘использование после освобождения’ и ‘плохое приведение’ — и наши инструменты обнаружили серьезные ошибки безопасности в широко используемом программном обеспечении, таком как Firefox и libstdc++. Мы благодарны Facebook за это признание.”

Исследователи разработали новый, собственный инструмент обнаружения под названием CAVER для их выявления. CAVER — это инструмент обнаружения в реальном времени с накладными расходами от 7.6% до 64.6% на производительность как Chrome, так и Firefox.

“Проектирование технологий защитной безопасности никогда не было столь важным, и именно поэтому мы снова предлагаем Премию за защиту Интернета, чтобы стимулировать высококачественные исследования в этой области,” сказал Иоаннис Папагианнис, менеджер по инженерии безопасности в Facebook. “Новая техника команды Georgia Tech по обнаружению плохих приведения типов в C++ программах — это тот тип выдающегося подхода, который мы хотим поощрять. Мы с нетерпением ждем, что команда сделает дальше, чтобы создать более широкое влияние и улучшить безопасность в Интернете.” “Награжденная работа Georgia Tech является примером новаторских исследований в области безопасности, которые стали отличительной чертой Симпозиума по безопасности USENIX,” сказал Кейси Хендерсон, исполнительный директор Ассоциации USENIX. “Их новаторская работа выделялась среди многих выдающихся заявок, оцененных Комитетом по наградам USENIX по безопасности и Facebook. Мы с нетерпением ждем их дальнейшего прогресса, поддерживаемого Премией за защиту Интернета в следующем году.