Chrome menetapkan hadiah US$250.000 untuk laporan kerentanan keamanan
(issues.chromium.org)- Komite VRP Chrome baru-baru ini memutuskan hadiah US$250.000 untuk sebuah laporan kerentanan keamanan
- Kerentanan yang dilaporkan adalah bug pada komponen ipcz, di mana renderer dapat menyalin handle proses browser dan berpotensi melakukan sandbox escape
- Isu terkait diajukan di area Chromium Internals>Mojo>Core
- Kerentanan ini dapat meningkatkan risiko keamanan bagi pengguna
- Kerentanan ini sedang dalam proses patch melalui perubahan kode
Ringkasan isu utama
- Baru-baru ini dilaporkan kerentanan keamanan yang sangat serius pada proyek Chromium
- Kerentanan ini disebabkan oleh cacat pada komponen ipcz, yang memungkinkan renderer yang seharusnya berada di sandbox untuk menyalin handle proses browser, sehingga berpotensi keluar dari lingkungan isolasi keamanan
- Perilaku tersebut pada dasarnya merupakan ancaman terhadap arsitektur sandbox browser
Implikasi dan keputusan hadiah VRP Chrome
- Panel Chrome Vulnerability Reward Program (Program Hadiah) memutuskan untuk membayar US$250.000 untuk laporan kerentanan ini
- Keputusan ini merefleksikan tingkat keparahan, tingkat kesulitan penemuan, dan dampaknya
- Ini merupakan contoh komitmen untuk mendorong pelaporan kerentanan pada celah keamanan yang signifikan
Penanganan isu internal
- Isu ini ditangani di kategori Internals>Mojo>Core dan Internals>Mojo
- Diperlukan beberapa perubahan kode terkait, termasuk beberapa commit kode di Gerrit
- Tinjauan dokumen desain dan prosedur review formal lainnya juga sedang berjalan
Patch dan dampak
- Masalah terkait sedang diproses untuk patching melalui perubahan kode
- Isu ini memengaruhi beberapa milestone rilis Chromium, dan prioritas tinggi untuk update keamanan ditetapkan
- Bug ini berpotensi menghilangkan penghalang keamanan pada sistem pengguna
Isu terkait dan respons sistem
- Catatan IRM (Incident Response Management) juga telah dibuat terkait isu ini
- Detail bug ini ditrack dan dibatasi aksesnya oleh berbagai sistem internal, termasuk perubahan kode yang dihasilkan otomatis, masalah keamanan terkait, tinjauan desain, dan manajemen rilis
- Diperlukan distribusi patch keamanan dan pengumuman yang cepat dan efektif untuk komunitas dan pengguna
1 komentar
Komentar Hacker News
Dia punya exploit yang cukup andal di browser paling banyak dipakai, dan ia berpendapat kalau menjualnya di black market, ia mungkin bisa mendapatkan jauh lebih banyak tanpa pajak. EDR (Endpoint Detection and Response) kini tersebar luas, sehingga peluang exploit ini cepat terdeteksi jadi lebih besar; namun ia bilang beberapa lembaga intelijen negara otoriter tetap akan menganggap peretasan semacam ini bernilai.
Untuk Chrome sandbox escape dan laporan berkualitas tinggi, hadiahnya adalah $250.000. Mozilla memberi $20.000 untuk kerentanan yang sama, ditunjukkan lewat aturan resmi, Mozilla bug bounty.
Melihat kalimat “Isu yang dibuka, lalu diumumkan lima hari sebelumnya dan rencananya hanya diungkapkan pada minggu ini” rasanya seperti menyapa Defcon.
Sebagai catatan, bug ini adalah masalah logika/waktu, dan tidak termasuk jenis yang bisa dicegah hanya karena ditulis dengan Rust.
Apakah ada referensi yang menjelaskan secara jelas apa itu bug sandbox escape, dengan bahasa yang mudah dipahami bagi mereka yang tidak terlalu familiar dengan 'renderer', 'native API', dan 'sandbox' di browser?
Tautan komentar terkait reward ada di sini
Ia mengagumi bahwa ada reward besar yang seolah bisa mengubah hidup, sekaligus senang bisa melihat reward seperti ini.
Menemukan bug pada proyek sebesar ini terasa benar-benar luar biasa, seperti mencari jarum di tumpukan jerami.
Waktu pencairan reward juga impresif. Reward keluar dalam sekitar 4 minggu, sementara banyak perusahaan biasanya membutuhkan waktu berbulan-bulan hanya untuk mengakui laporan bug.
Jika DOJ memaksa pemisahan Chrome dan muncul kepemilikan baru, ia meragukan bug bounty di level seperti ini bisa terus berlanjut.