Chrome menetapkan hadiah US$250.000 untuk laporan kerentanan keamanan

 (issues.chromium.org)
1 poin oleh GN⁺ 2025-08-12 | Belum ada komentar. | Bagikan ke WhatsApp
  • Komite VRP Chrome baru-baru ini memutuskan hadiah US$250.000 untuk sebuah laporan kerentanan keamanan
  • Kerentanan yang dilaporkan adalah bug pada komponen ipcz, di mana renderer dapat menyalin handle proses browser dan berpotensi melakukan sandbox escape
  • Isu terkait diajukan di area Chromium Internals>Mojo>Core
  • Kerentanan ini dapat meningkatkan risiko keamanan bagi pengguna
  • Kerentanan ini sedang dalam proses patch melalui perubahan kode

Ringkasan isu utama

  • Baru-baru ini dilaporkan kerentanan keamanan yang sangat serius pada proyek Chromium
  • Kerentanan ini disebabkan oleh cacat pada komponen ipcz, yang memungkinkan renderer yang seharusnya berada di sandbox untuk menyalin handle proses browser, sehingga berpotensi keluar dari lingkungan isolasi keamanan
  • Perilaku tersebut pada dasarnya merupakan ancaman terhadap arsitektur sandbox browser

Implikasi dan keputusan hadiah VRP Chrome

  • Panel Chrome Vulnerability Reward Program (Program Hadiah) memutuskan untuk membayar US$250.000 untuk laporan kerentanan ini
  • Keputusan ini merefleksikan tingkat keparahan, tingkat kesulitan penemuan, dan dampaknya
  • Ini merupakan contoh komitmen untuk mendorong pelaporan kerentanan pada celah keamanan yang signifikan

Penanganan isu internal

  • Isu ini ditangani di kategori Internals>Mojo>Core dan Internals>Mojo
  • Diperlukan beberapa perubahan kode terkait, termasuk beberapa commit kode di Gerrit
  • Tinjauan dokumen desain dan prosedur review formal lainnya juga sedang berjalan

Patch dan dampak

  • Masalah terkait sedang diproses untuk patching melalui perubahan kode
  • Isu ini memengaruhi beberapa milestone rilis Chromium, dan prioritas tinggi untuk update keamanan ditetapkan
  • Bug ini berpotensi menghilangkan penghalang keamanan pada sistem pengguna

Isu terkait dan respons sistem

  • Catatan IRM (Incident Response Management) juga telah dibuat terkait isu ini
  • Detail bug ini ditrack dan dibatasi aksesnya oleh berbagai sistem internal, termasuk perubahan kode yang dihasilkan otomatis, masalah keamanan terkait, tinjauan desain, dan manajemen rilis
  • Diperlukan distribusi patch keamanan dan pengumuman yang cepat dan efektif untuk komunitas dan pengguna

Bacaan terkait

Belum ada komentar.

Belum ada komentar.