1 poin oleh GN⁺ 2025-08-12 | 1 komentar | Bagikan ke WhatsApp
  • Komite VRP Chrome baru-baru ini memutuskan hadiah US$250.000 untuk sebuah laporan kerentanan keamanan
  • Kerentanan yang dilaporkan adalah bug pada komponen ipcz, di mana renderer dapat menyalin handle proses browser dan berpotensi melakukan sandbox escape
  • Isu terkait diajukan di area Chromium Internals>Mojo>Core
  • Kerentanan ini dapat meningkatkan risiko keamanan bagi pengguna
  • Kerentanan ini sedang dalam proses patch melalui perubahan kode

Ringkasan isu utama

  • Baru-baru ini dilaporkan kerentanan keamanan yang sangat serius pada proyek Chromium
  • Kerentanan ini disebabkan oleh cacat pada komponen ipcz, yang memungkinkan renderer yang seharusnya berada di sandbox untuk menyalin handle proses browser, sehingga berpotensi keluar dari lingkungan isolasi keamanan
  • Perilaku tersebut pada dasarnya merupakan ancaman terhadap arsitektur sandbox browser

Implikasi dan keputusan hadiah VRP Chrome

  • Panel Chrome Vulnerability Reward Program (Program Hadiah) memutuskan untuk membayar US$250.000 untuk laporan kerentanan ini
  • Keputusan ini merefleksikan tingkat keparahan, tingkat kesulitan penemuan, dan dampaknya
  • Ini merupakan contoh komitmen untuk mendorong pelaporan kerentanan pada celah keamanan yang signifikan

Penanganan isu internal

  • Isu ini ditangani di kategori Internals>Mojo>Core dan Internals>Mojo
  • Diperlukan beberapa perubahan kode terkait, termasuk beberapa commit kode di Gerrit
  • Tinjauan dokumen desain dan prosedur review formal lainnya juga sedang berjalan

Patch dan dampak

  • Masalah terkait sedang diproses untuk patching melalui perubahan kode
  • Isu ini memengaruhi beberapa milestone rilis Chromium, dan prioritas tinggi untuk update keamanan ditetapkan
  • Bug ini berpotensi menghilangkan penghalang keamanan pada sistem pengguna

Isu terkait dan respons sistem

  • Catatan IRM (Incident Response Management) juga telah dibuat terkait isu ini
  • Detail bug ini ditrack dan dibatasi aksesnya oleh berbagai sistem internal, termasuk perubahan kode yang dihasilkan otomatis, masalah keamanan terkait, tinjauan desain, dan manajemen rilis
  • Diperlukan distribusi patch keamanan dan pengumuman yang cepat dan efektif untuk komunitas dan pengguna

1 komentar

 
GN⁺ 2025-08-12
Komentar Hacker News
  • Dia punya exploit yang cukup andal di browser paling banyak dipakai, dan ia berpendapat kalau menjualnya di black market, ia mungkin bisa mendapatkan jauh lebih banyak tanpa pajak. EDR (Endpoint Detection and Response) kini tersebar luas, sehingga peluang exploit ini cepat terdeteksi jadi lebih besar; namun ia bilang beberapa lembaga intelijen negara otoriter tetap akan menganggap peretasan semacam ini bernilai.

    • Dia mempertanyakan apakah benar bisa memperoleh lebih banyak jika dijual di black market, dan ia juga mengaku tidak tahu di mana serta bagaimana menemukan penjahat yang bisa dipercaya. Karena transaksi harus didasarkan pada anonimitas dan kepercayaan, meskipun Anda menerima uang tetap ada risiko lain seperti blackmail, dan menyembunyikan uang dalam jumlah besar juga tidak mudah, sehingga timbul pertanyaan bagaimana menjual exploit dengan aman. Jika uang didapat dengan cara ini, Anda juga tidak bisa menulis di blog, tidak bisa memperkenalkan nama Anda ke peneliti atau perekrut, jadi ada kerugian untuk karier dan reputasi.
    • Menjual di black market tidak otomatis berarti uangnya bebas pajak; bahkan sebaliknya. Kalau suatu saat uang besar masuk ke rekening bank, pada akhirnya akan diawasi, jadi selain pajak Anda pun harus melakukan money laundering, dan membayar biaya ke pencuci uang, sehingga akhirnya pajaknya seakan-akan dibayar dua kali. Crypto juga demikian karena biasanya diminta bukti bahwa aset berasal dari mining, jadi ini pun bukan solusi mudah.
    • Banyak orang hanya melihat besar kecilnya uang, tapi ia berpendapat kita sebaiknya lebih dewasa dalam melihatnya. Ini adalah hal yang perlu dipikirkan karena potensi keuntungan bisa memberi banyak peluang bagi pelaku kejahatan untuk membahayakan jutaan orang.
    • Ia menolak anggapan bahwa pasti bisa dapat lebih banyak tanpa pajak lewat black market. Ia membagikan slide 72 dari presentasi yang menyebut bahwa escape sandbox Chrome atau bypass bisa dibayar secara resmi sampai $200.000. Presentasi ini ada di GitHub, tetapi karena GitHub sedang down sekarang, ia juga membagikan tautan reddit sebagai tambahan.
    • Ini adalah salah satu dari sedikit kasus di mana ada liquid market. Khususnya, bug-bug ini bisa dijual ulang berkali-kali; misalnya, ada perusahaan spesialis yang menjualnya ke hampir semua lembaga intelijen nasional maupun aparat penegak hukum.
  • Untuk Chrome sandbox escape dan laporan berkualitas tinggi, hadiahnya adalah $250.000. Mozilla memberi $20.000 untuk kerentanan yang sama, ditunjukkan lewat aturan resmi, Mozilla bug bounty.

    • Secara Wikipedia, jumlah ini setara dengan 0.012% (dibanding laba bersih Mozilla). Di komentar ada yang bilang perbandingan seperti ini tidak tepat, tapi kalau dihitung persentasenya, ini berada di level 50 kali Google sehingga tetap terasa signifikan. (Awalnya ia salah hitung, lalu memperbaikinya: ini 0.012%. $20.000 adalah 0.012% dari $157.000.000, alias 50 kali lebih tinggi dari persentase Google.)
    • Pengguna Chrome 15–20 kali lebih banyak dibanding Firefox, jadi harga bug di black market juga terbentuk setinggi itu. Safari bisa lebih mahal lagi karena basis penggunanya lebih mapan secara finansial dan kurang peduli keamanan.
    • Menurutnya, jika melihat kondisi keuangan, Google jelas mendapatkan jauh lebih banyak uang daripada Mozilla.
    • Ada yang ingin membuat parodi seolah-olah menjadi CEO Mozilla di HN dan menyuarakan apa yang ingin masing-masing orang sampaikan. Dibayangkan kontrasnya: orang masuk kantor dengan serius sambil berargumen dengan semangat tentang kebijakan favoritnya (privasi, penguatan web standards, peningkatan kecepatan, peningkatan hadiah bug bounty, dan sebagainya), sementara di latar belakang ada garis merah (penurunan pendapatan) yang terus menurun dalam slow-motion.
    • Dalam gray market pun, karena permintaan dan penawaran untuk kerentanan Firefox lebih sedikit, hadiahnya turun cukup jauh.
  • Melihat kalimat “Isu yang dibuka, lalu diumumkan lima hari sebelumnya dan rencananya hanya diungkapkan pada minggu ini” rasanya seperti menyapa Defcon.

    • (Catatan: ini seharusnya menjadi kalimat Indonesia?)
  • Sebagai catatan, bug ini adalah masalah logika/waktu, dan tidak termasuk jenis yang bisa dicegah hanya karena ditulis dengan Rust.

  • Apakah ada referensi yang menjelaskan secara jelas apa itu bug sandbox escape, dengan bahasa yang mudah dipahami bagi mereka yang tidak terlalu familiar dengan 'renderer', 'native API', dan 'sandbox' di browser?

    • Langkah pertama adalah mengambil alih proses renderer melalui bug pada engine JavaScript, dan meski sudah terjadi, renderer tetap terkurung di dalam sandbox. Bug yang ada di postingan ini adalah untuk langkah kedua, yaitu sandbox escape. Patch.diff yang dipublikasikan merupakan patch yang mensimulasikan proses renderer yang sudah diretas.
  • Tautan komentar terkait reward ada di sini

  • Ia mengagumi bahwa ada reward besar yang seolah bisa mengubah hidup, sekaligus senang bisa melihat reward seperti ini.

    • Di Denmark, tempat tinggal saya, jumlah ini bahkan tanpa pajak pun tak cukup untuk membeli apartemen studio.
    • Saat pertama kali menerima bonus $240.000, saya kira hidup akan berubah, tetapi $100.000 dipotong pajak. Setelah membayar mobil $20.000, nyatanya tidak terlalu banyak yang bisa dilakukan. Itu jauh dari cukup untuk harga rumah di LA/SF/NYC, dan juga tidak cukup untuk memulai startup. Kalau hidup ala mahasiswa, mungkin bisa bertahan 2–3 tahun, tapi saya sudah 34 tahun jadi sulit kembali ke gaya hidup mahasiswa. Akhirnya, hidup tidak berubah banyak. Tentu saya berterima kasih karena mendapat uang besar ini, tapi pengalaman yang saya punya adalah hidup tidak berubah sebanyak yang saya bayangkan. Itu terjadi 25 tahun lalu; sekarang di salah satu dari tiga kota itu, $1 juta (setelah pajak $600 ribu) juga bukan angka yang bisa mengubah hidup. Paling tidak, bisa untuk uang muka rumah atau biaya sekolah anak, tetapi kebebasan yang saya harapkan tetap tak terasa.
    • Nilai uang ini juga sangat tergantung lokasi. Di negara maju, sulit menganggap $250.000 sebagai uang yang mengubah hidup; lebih seperti "uang yang bikin lega untuk sementara". Setelah dipotong pajak, jumlah itu pun tidak cukup untuk membeli rumah.
  • Menemukan bug pada proyek sebesar ini terasa benar-benar luar biasa, seperti mencari jarum di tumpukan jerami.

    • Justru proyek besar dan kompleks cenderung punya lebih banyak kode dan bug, jadi mencari isu bisa lebih mudah dibanding proyek kecil. Namun untuk bug serius seperti Sandbox Escape memang memang sulit karena Google dengan program bounty profesionalnya membuat banyak orang melakukan analisis manual dan otomatis (termasuk fuzzer) sehingga hampir semuanya sudah dicoba. Tahun 2014 dia kebetulan menemukan bug di Chrome secara tidak sengaja (bukan sengaja mencari bug, hanya menemukannya saat menulis kode JS), lalu melaporkan dan Google membayar $1.500, dengan pengalaman yang katanya cuma butuh sekitar 30 menit. Tautan terkait
    • Sebaliknya, proyek besar juga bisa lebih mudah karena banyak interaksi aneh antar-komponen. Kuncinya adalah fokus pada bagian-bagian yang menjadi security boundary (dalam hal ini komunikasi antar renderer dan broker), lalu menelusuri edge case. Google membayar bug semacam ini sehingga saat ditemukan hadiahnya besar. Meski begitu, memang benar bahwa dibutuhkan kemampuan penelitian yang sangat tinggi untuk menemukannya.
  • Waktu pencairan reward juga impresif. Reward keluar dalam sekitar 4 minggu, sementara banyak perusahaan biasanya membutuhkan waktu berbulan-bulan hanya untuk mengakui laporan bug.

  • Jika DOJ memaksa pemisahan Chrome dan muncul kepemilikan baru, ia meragukan bug bounty di level seperti ini bisa terus berlanjut.