Chromeブラウザに以前よりも多くのセキュリティ上の欠陥がある理由

2022 年 3 月 17 日 マット・ミルズ ニュース, ソフトウェア 0

Google クロム Webブラウザーは、世界中のユーザーによって最も広く使用されています。実際、昨年末の統計によると、インターネットユーザーの65%以上がこのブラウザーを使用しています。 遠くに私たちはのような他のブラウザを持っています Firefoxの またはSafariの Apple コンピューター。 しかし、近年、より深刻な脆弱性がGoogleのブラウザに表示されていますが、これはなぜですか? 以前はセキュリティ上の欠陥がそれほど多くなかったのに、今はあるのはなぜですか? 今日はこの記事でそれを説明します。

Chromeブラウザに以前よりも多くのセキュリティ上の欠陥がある理由

ますます多くの脆弱性が出現します

Googleのセキュリティブログでは、Chromeブラウザにますます多くのセキュリティ上の欠陥が見つかり、発見されたセキュリティ上の欠陥がかなり大幅に増加しているようです。また、サイバー犯罪者がエクスプロイトを起動してユーザーを感染させようとしている方法もあります。 ユーザー。 ただし、公式のセキュリティブログにコメントしているため、そうではありません。

Chromeにセキュリティ上の欠陥が増えているように見える主な理由は、 攻撃者に対してより多くの可視性を持っています 、実際にはこれは良いことです。これは、ユーザーを保護する目的で、パッチを使用してこれらの脆弱性に以前よりもはるかに迅速に対応できることを意味します。 数年前、Chromeの脆弱性はそれほど可視性がありませんでしたが、エラーはなかったように見えるかもしれませんが、エラーはありましたが、「隠されていました」。 現在、これは根本的に変化し、Googleがそれらをはるかに早く解決できるようになりました。さらに、実際の攻撃者がどのように動作するかも学習します。

GoogleのProjectZeroチームは、すべてのゼロデイセキュリティの欠陥、つまり攻撃者が悪用している未知の脆弱性を公に追跡しています。 次のグラフでは、主要なWebブラウザーと関連するセキュリティ上の欠陥を確認できます。特に、現在は機能していないFlashとWebKitに注目しています。これらはブラウザーではありませんが、非常に重要な意味でブラウザーの一部でした。

ご覧のとおり、2015年から2018年の間に、GoogleChromeにセキュリティ上の欠陥はなかったようです。これは不可能なことです。 チームはこれらの年の間にゼロデイを検出しませんでしたが、それはゼロデイがなかったこと、およびサイバー犯罪者によって密かに悪用されたことを示すものではありません。 0年の時点で、Chromeのセキュリティ上の欠陥は非常に大きくなっていますが、これは単に以前よりも可視性が高くなっているためです。つまり、ゼロデイ攻撃の方が透明性が高くなっています。

Googleの関係者がコメントしたもう2019つの理由は、Chromeが成長を続け、使用シェアが増加しているためです。これは、潜在的な被害者に影響を与える可能性があるため、サイバー犯罪者がこのWebブラウザに集中していることを意味します。 サイバー犯罪者は常に金儲けを望んでおり、可能な限り多くの損害を与えることを目的として、彼らの標的は非常に多くなるように努めています。 潜在的な被害者の数は少ないため、めったに使用されないWebブラウザに多くのリソースを費やすことは意味がありません。 また、0年以前は、Flashが常に攻撃されていることにも留意する必要があります。これは、Flashが真のゼロデイスニークであったソフトウェアであり、その消滅に伴い、サイバー犯罪者はChromeに重点を置いてきたためです。

また、以前はWebブラウザを危険にさらすために必要だったゼロデイ障害は0つだけでしたが、現在は少なくとも0つ必要であることも覚えておく必要があります。 最初の失敗はコードの実行に役立ち、別の失敗はこのコードがChromeで使用されるサンドボックスを離れる原因となるため、統計が「肥大化」します。 最後に、Chromeブラウザは以前よりもはるかに複雑であり、これによりプログラミングエラーが発生し、ゼロデイ攻撃の可能性が増えました。この問題を少し軽減するために、サンドボックスを改善してすべてのWebページを分離し続けています。

EvitarerrorcríticoenChrome

要約すると、Chromeにセキュリティ上の欠陥が増えているように見える理由は次のとおりです。

  1. ゼロデイセキュリティの欠陥をユーザーに伝える際の透明性が向上します。
  2. 攻撃者の進化により、Chromeの人気に焦点を当てるためにFlashを放棄しました。
  3. レンダリングプロセスとサンドボックスを危険にさらすには、XNUMXつのバグではなく、少なくともXNUMXつのセキュリティバグが必要になるため、統計が増加します。 また、単一のステップを実行するために、複数の障害を連鎖させる必要がある場合もあります。
  4. より複雑なソフトウェアとより可能性のあるプログラミングエラー。

ますます多くのバグが発生していますが、Chromeチームは、可能な限り最高のセキュリティを提供することを目的としたいくつかのプロジェクトに深く関わっています。

  • 特にAndroidでの改善されたWebサイトの分離
  • ヒープサンドボックス:攻撃者がJavaScriptJITコンパイルバグを使用するのを防ぎます。
  • MiraclePtrおよび*プロジェクトをスキャンして、最大のブラウザープロセスのバグを悪用しないようにします。
  • Chromeの一部をメモリセーフなプログラミング言語で記述します。 これは通常、悪用可能なセキュリティバグの最大70%に相当します。
  • ゼロデイエラーを軽減する方法。

ご覧のとおり、Chromeからのゼロデイ通知の数は増えていますが、以前に通知がなかったという意味ではなく、通信が行われていなかっただけです。