ทีม Microsoft Offensive Security Research (OSR) ที่ทำงานคล้าย Project Zero ของกูเกิลรายงานถึงช่องโหว่รันโค้ดจากระยะไกลบนเบราว์เซอร์โครม แม้ว่าทีมงานโครมของกูเกิลจะตอบอย่างรวดเร็วและแก้ไขช่องโหว่ภายในไม่กี่วัน แต่กระบวนการเปิดเผยช่องโหว่กลับปล่อยโค้ดแก้ไขก่อนที่จะมีการปล่อยอัพเดต
OSR พบช่องโหว่โดยการสร้างชุดทดสอบจากตัวสร้างชุดทดสอบ ExprGen และพบว่าสามารถสร้างโค้ดทดสอบเอนจิน V8 ที่ทำให้เอนจินแครชได้เสมอ จากนั้นจึงพยายามย่อโค้ด 1,500 บรรทัดที่สร้างขึ้นมาจนเหลือโค้ดเพียงสิบกว่าบรรทัด (ภาพโค้ดประกอบท้ายข่าว) และพบว่าตัวโค้ดที่กระตุ้นให้แครชสามารถทำให้ตัวคอมไพล์เลอร์ของโครมสร้างโค้ดตามที่กำหนดได้หากวางโค้ดอย่างถูกต้อง และตัวโครมเองจองหน่วยความจำสำหรับโค้ดจาก V8 ไว้เป็นแบบ RWX (อ่าน-เขียน-รันโค้ด ได้) ทำให้เปิดช่องว่างให้แฮกเกอร์สามารถนำโค้ดใดๆ ไปรันบนเครื่องของเหยื่อได้
OSR ระบุว่าแนวทางแบบนี้โจมตี Edge ได้ยากมาก เพราะกระบวนการป้องกันเพิ่มเติม เช่น Control Flow Guard (CFG), Arbitrary Code Guard (ACG), Less Privileged AppContainer (LPAC), และ Windows Defender Application Guard (WDAG) ช่วยป้องกันการโจมตีเหล่านี้ และสถาปัตยกรรมความปลอดภัยของโครมที่หลายครั้งเลือกจะรวมแท็บต่างๆ ไว้ในโปรเซสเดียวกัน ทำให้โค้ดจากโดเมนหนึ่งๆ สามารถขโมยข้อมูลจากโดเมนอื่นไปได้ด้วย
ทาง OSR รายงานช่องโหว่ไปยังกูเกิลตั้งแต่ 14 กันยายนที่ผ่านมา โดยช่องโหว่นี้ได้รับเงินรางวัล 7,500 ดอลลาร์ เมื่อรายงานพร้อมๆ กับบั๊กอื่นๆ รวมเงินรางวัล 15,837 ไมโครซอฟท์ตัดสินใจไม่รับเงินรางวัล ทางกูเกิลจึงบริจาคเงิน 30,000 ดอลลาร์เข้าไปยัง Denise Louie Education Center ในซีแอตเทิล
กูเกิลส่งโค้ดแก้บั๊กภายใน 4 วันหลังได้รับรายงาน และปล่อยอัพเดตอีกสามวันถัดมา (รวม 7 วันหลังได้รับรายงานจากไมโครซอฟท์) ตัวรายงานบั๊กใน issue tracker ยังคงปิดลับ แต่โค้ดที่ใช้แก้ไขกลับเปิดต่อสาธารณะและมีโค้ดทดสอบอยู่ด้วยเสร็จสรรพ ไมโครซอฟท์ติงว่าแนวทางแบบนี้ไมโครซอฟท์ไม่ทำเพราะจะเปิดโอกาสให้แฮกเกอร์มาเห็นช่องโหว่ก่อน เช่น Chakra ก็รอให้มีแพตช์ไปยังผู้ใช้ก่อนจึงจะเปิดโค้ดใน Git
ที่มา - Technet
Comments
แม้ว่า
เอนจิต ?
ทีแรกอ่านว่า ติ่ง (แฟนคลับ) กูเกิล ก็เลยคิดว่า เอ๊ะ ทำไมถึงหมายถึงแบบนั้นนะ
ที่ไหนได้ อ่านผิดนั่นเอง 555
Project Zero ก็ไม่ได้พรีเซนต์ว่าของตัวเองดีกว่าขนาดนี้นะครับพี่ -_- นี่ด่าเค้าทีชมตัวเองทีตลอดเลย
จะชมตัวเองว่างั้น?
MS ก็ว่า ถูกต้องนะ หากว่าเป็นเช่นนั้น ไม่ว่ามิตรหรือศัตรู ความปลอดภัยต้องมาก่อน โดยเฉพาะจุดอันตรายที่ใครเห็นก็ได้
ผมไม่แน่ใจว่าผมควรเห็นด้วยกับไมโครซอฟท์รึเปล่านะครับ เพราะช่วงหลังๆ ประเด็นความปลอดภัยสำคัญคือการแทรกโค้ดลงไบนารี เพื่อแอบใส่ช่องโหว่ก็น่ากลัวไม่น้อย ทำให้โครงการสำคัญๆ ต้องพยายามทำ reproducible binary ให้คนภายนอกมาคอมไพล์ให้ตรงกันได้ เพื่อจะบอกได้ว่าไม่มีการแทรกโค้ดจริงๆ
หากไมโครซอฟท์บอกว่าต้องไม่เปิดโค้ดก่อนที่จะส่งแพตช์ก่อนเสมอจะกลายเป็นว่าเราไม่เคยเห็นโค้ดทั้งหมดจริงๆ ก่อนที่มันจะเป็นไบนารีที่ผู้ผลิตส่งมาให้เลย
อีกอย่างมันมีโครงการปลายน้ำที่รอโค้ดจากโอเพนซอร์สเป็นหลัก (เช่น chromium และโครงการปลายน้ำอื่นๆ ที่ใช้ V8) แม้ตัวโครงการหลักจะได้แพตช์แต่ก็ต้องส่งโค้ดให้โครงการปลายน้ำอีกหลายทอด กลายเป็นว่าต้องสร้างช่องทางพิเศษไปกันหมด
lewcpe.com, @wasonliw
MS OSR พูดแบบนี้ ไว้หน้า Edge หน่อยก็ได้นะครับ ของตัวเองก็พรุนใช่ย่อย นับจากความถี่ 0day ที่โพสต์ขายตาม .onion เนี่ย
โดนเลยตอนแรก google บอก MS มีช่องโหว่แต่ MS บอกไม่ใช่เอาคืนกันมันเลย
แอบน่าเกลียดนะ แขวะเค้าแล้วชมตัวเองเนี่ย สรุปคือมีโครงการนี้ไว้โฆษณาตัวเองว่างั้น
ทำแย่างกับว่า กูเกิลไม่เคย จริง ๆ กูเกิลนี่แหละตัวดีเลย ที่ชอบแขวะไมโครซอพท์ เพื่อสร้างฐานลูกต้าตัวเอง
ผมว่าจริง ๆ คุณมองแค่ฝั่งเดียวนะ จำกรณีของช่องโหว่ Flash Player เมื่อเทียบกับกรณีของ OS X/macOS ได้ไหมครับ อันนั้นคือตัวอย่างของความไม่เป็นกลางของ Project Zero
บางที ผมว่าตอนนี้คุณโดน distortion reality field ปกคลุมสมองคุณไปแล้วนะครับ มองด้านอื่นบ้างก็ดีนะครับ บางที บริษัทที่คุณชื่นชอบอาจจะไม่ได้ทำถูกทุกอย่างอย่างที่คุณคิดก็ได้
Coder | Designer | Thinker | Blogger
+65536
"Those who make peaceful revolution impossible will make violent revolution inevitable." JFK.
สับสนอะไรหรือเปล่าครับ ผมไม่ได้พาดพิง Project Zero เลย ไม่ได้บอกใครถูกใครผิดด้วยซ้ำ ผมแค่บอกว่า จากข่าวนี้คำพูดของ OSR ที่เอาบัคของ Chrome มาเปิดเผยแล้วโฆษณาว่า Edge ของตัวเองดีกว่าปลอดภัยกว่ามันน่าเกลียดแค่นั้นเองครับ
ประเด็นของมันอยู่ตรงนี้ครับ
แบบนี้เรียกว่าไม่โฆษณาหรอครับ?
ประเด็นคือผมไม่ได้ว่านะว่ามันถูกต้องที่ทำ แต่ที่ผมกล่าวถึงคือ ฝั่งที่คุณเชียร์เองก็ไม่ได้ทำได้ดีกว่าฝั่งที่คุณด่าหรอกครับ ถ้าคุณจะว่าแต่ฝั่งเดียว กรุณากลับไปดูข่าวในลิงก์ที่ผมแนบมาให้คุณด้วยนะครับ ทั้ง 2 องค์กรก็คือบริษัท ต่างก็ต้องการหาลูกค้าเหมือนกันทั้งคู่ อย่าว่าแค่ฝ่ายเดียวพอครับ
Coder | Designer | Thinker | Blogger
หล่อเลยครับ ???