Le basi Chromium di Google Chrome e Microsoft Edge hanno registrato più “zero day” di recente. Google oggi ha spiegato cosa c’è dietro questa tendenza del browser, così come quali caratteristiche di sicurezza Chrome ha in atto per contrastarla.
I dati compilati dal team Project Zero di Google mostrano che gli zero-day che prendono di mira Chrome sono aumentati dal 2019. Il team di Chrome Security indica quattro ragioni principali per questa tendenza: da una maggiore trasparenza del fornitore a come “i browser rispecchiano sempre più la complessità dei sistemi operativi” con più capacità, come l’accesso all’hardware.
Un altro grande motivo è come gli attaccanti stanno ora prendendo di mira i browser direttamente dopo la deprecazione di Flash. Chromium è specificamente nel mirino poiché ora è alla base sia di Chrome che di Microsoft Edge, permettendo così ai bug di colpire più utenti. L’ultima ragione che Google offre è come “alcuni attacchi che prima potevano essere compiuti con un singolo bug ora richiedono più bug“.
Con il progetto pluriennale Site Isolation di Chrome ampiamente completato, un singolo bug non è quasi mai sufficiente per fare qualcosa di veramente cattivo.
Gli attaccanti spesso hanno bisogno di concatenare almeno due bug: primo, per compromettere il processo di rendering, e secondo, per saltare nel processo privilegiato del browser Chrome o direttamente nel sistema operativo del dispositivo.
A volte sono necessari più bug per raggiungere uno o entrambi questi passi.
Guardando avanti, Google vuole combattere gli attacchi n-day da bug che sono già patchati e quindi visibili nei repository di codice open-source, ma che possono ancora essere utilizzati perché la gente non ha ancora aggiornato Chrome. Il suo consiglio agli utenti finali e ai dipartimenti IT è di installare gli aggiornamenti il più presto possibile.
“Abbiamo notevolmente ridotto il nostro “patch gap” da 35 giorni in Chrome 76 a una media di 18 giorni nelle milestone successive, e ci aspettiamo che questo si riduca ulteriormente con il ciclo di rilascio più veloce di Chrome“.
Altri sforzi in corso includono il rafforzamento del Site Isolation – specialmente su Android – e l’aggiunta di più livelli di sicurezza che richiedono ulteriori bug concatenati per avere successo. Questo richiede sforzi ingegneristici a lungo termine che potrebbero richiedere compromessi sulle prestazioni.
