Pull to refresh

Project Zero будет выжидать 90 дней перед раскрытием уязвимостей, чтобы повысить эффективность патчей

Information Security *Development for Android *Google API *
image

Проект Google по раскрытию уязвимостей Project Zero изменит политику их раскрытия. С этого года информация будет публиковаться только через 90 дней, даже если патч вышел ранее этого срока. Эта мера направлена на повышение качества исправлений, поскольку многие производители ПО стремятся как можно скорее выпустить их, но в итоге такие патчи малоэффективны.

Таким образом, 90-дневный срок позволит разработчикам получить больше времени на распространение исправления и убедиться, что оно эффективно устраняет причину проблемы.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 1.8K
Comments 0

Эксплойт памяти ядра в iPhone позволял красть данные без участия пользователя по Wi-Fi

Information Security *Development for iOS *Smartphones
image

В мае этого года Apple исправила уязвимость в iPhone — ошибку памяти в ядре iOS, которая давала злоумышленникам удаленный доступ ко всему устройству посредством Wi-Fi, без какого-либо участия самого пользователя.

Теперь об этом эксплойте подробно рассказал Ян Бир, исследователь из Project Zero, подразделения Google по исследованию уязвимостей. Он описал уязвимость и экспериментальный эксплойт, на разработку которого потратил шесть месяцев.
Total votes 14: ↑13 and ↓1 +12
Views 3.5K
Comments 2

Project Zero увеличивает время раскрытия подробностей о найденных уязвимостях

Information Security *Development Management *

Участник команды Project Zero Тим Виллис рассказал в блоге компании об изменениях политики работы. Проект Google по поиску уязвимостей увеличивает сроки публикации подробностей найденных проблем на дополнительные 30 дней.

Читать далее
Total votes 13: ↑13 and ↓0 +13
Views 1.4K
Comments 0

Google анонсирует Project Zero

ESET NOD32 corporate blog Information Security *
Многие внимательные читатели и технические специалисты, которые следят за выпускаемыми бюллетенями безопасности компаний Microsoft и Adobe обращали внимание на группу Google Project Zero в разделе «Благодарности» по поиску уязвимостей. Такой раздел присутствует в каждому бюллетене и в нем перечисляются security-ресерчеры, которые обнаружили закрываемую уязвимость. Название Google Project Zero много раз фигурировало в этих выпущенных бюллетенях, однако, никакой информации об этой группе самой Google не разглашалось. Исключение было сделано вчера, когда компания официально объявила о группе security-ресерчеров, которые занимаются поиском уязвимостей в продуктах сторонних компаний, чтобы «сделать интернет безопаснее». Информация была размещена в блоге Google Securtiy Team и в известном электронном издании Wired.



Project Zero is our contribution, to start the ball rolling. Our objective is to significantly reduce the number of people harmed by targeted attacks. We're hiring the best practically-minded security researchers and contributing 100% of their time toward improving security across the Internet.

Читать дальше →
Total votes 40: ↑32 and ↓8 +24
Views 17K
Comments 3

Security Week 19: Windows Defender запускает чужой код, в HandBrake сидел троянец, фишеры атаковали пользовалей Gmail

«Лаборатория Касперского» corporate blog Information Security *
Весна выдалась щедрой на дыры апокалиптического масштаба, причем в самых неожиданных местах. В этот раз это не смартфон, и не роутер, а гораздо хуже – Microsoft Malware Protection Engine. Этот компонент используется Windows Defender и по умолчанию включен в Windows 8, 8.1, 10, а также в Windows Server 2016

В этот раз отличился Google: исследователи из Google Project Zero Тэвис Орманди и Натали Силванович нашли ‘crazy bad’ уязвимость. Орманди поспешил твитнуть об этом, выразившись, что это худшая уязвимость удаленного запуска кода в Windows за последнее время – и, конечно же, сгенерил этим массу сенсационных заголовков. Разработчики из Microsoft кинулись закрывать дыру, как матросы на штурм Зимнего, и спустя три дня патч был готов. Орманди, мужественно державший все подробности при себе, облегченно разразился багрепортом.
Читать дальше →
Total votes 13: ↑13 and ↓0 +13
Views 7.6K
Comments 0

CPU сдаст вас с потрохами: самая серьезная дыра в безопасности за всю историю наблюдений?

Information Security *

Что случилось?


Исследователи Google опубликовали исследование «Reading privileged memory with a side-channel», в котором они описывают найденную ими аппаратную уязвимость, которая затрагивает практически все современные и устаревшие процессоры вне зависимости от операционной системы. Строго говоря, уязвимостей целых две. Одной подвержены многие процессоры Intel (на них проводилось исследование). AMD с ARM также уязвимы, но атаку реализовать сложнее.

Атака позволяет получить доступ к защищенной памяти из кода, который не обладает соответствующими правами.

Пожалуй, самое вероятное и неприятное применение на данный момент — получение дампа системной памяти во время выполнения JavaScript.

Другой интересный вариант — эскалация прав чтения памяти из виртуальной машины. Как вам VPS, который ворует данные из других машин хостера?

Эксплуатация уязвимости не оставляет следов.

Насколько это серьезно?


Это очень серьезно. Мир разделится на «до» и «после». Даже если у вас вообще нет компьютера, отдельные последствия косвенно могут догнать вас в офлайне.

Как защититься?


Установить последние обновления системы и браузера. Если вы не уверены в том что дыра точно закрыта и ваша система совершенно точно в безопасности, лучше отключите JavaScript даже при посещении безопасных сайтов — они могут быть скомпроментированы. Некоторые эксперты считают, что программным образом полностью обезопаситься нельзя и единственный способ решить проблему — сменить процессор на вариант без асбеста заведомо безопасный.

Прекрасные новости, это всё?


Не все. Судя по тестам, патчи сильно повлияют на производительность существующих систем. Тесты показывают падение на 10-30% в некоторых задачах. Да-да, вы все правильно поняли, ваш мак может навсегда стать медленнее, а AWS заметно дороже.

Дополнительные данные


Читать дальше →
Total votes 138: ↑130 and ↓8 +122
Views 130K
Comments 524

Security Week 03: принципы ответственного багрепорта

«Лаборатория Касперского» corporate blog Information Security *
Седьмого января команда Google Project Zero, специализирующаяся на поиске уязвимостей в ПО, сообщила об изменениях в правилах раскрытия информации об обнаруженных багах (новость, пост в блоге). В 2020 году Project Zero будет раскрывать информацию об уязвимостях через 90 дней после первого уведомления «пострадавшего» вендора. Дедлайн не изменился, но до этого исследователи из Project Zero могли опубликовать отчет о проблеме быстрее, если разработчику ПО удалось выпустить патч до этого срока. Теперь Project Zero будет ждать 90 дней вне зависимости от наличия заплатки.

Новые правила представляют интерес по ряду причин. Во-первых, нет единого стандарта — сколько времени давать разработчику ПО на анализ уязвимости и ее устранение. Команда Project Zero, регулярно обнаруживающая серьезные уязвимости в ПО, принимает такие решения самостоятельно и таким образом пытается влиять на всю индустрию. Во-вторых, важно изменение приоритетов: вместо «давайте закроем этот баг побыстрее» разработчиков мотивируют устранять уязвимость надежно. Иначе регулярно выходит, что патч либо не решает проблему вовсе, либо добавляет новые баги.
Читать дальше →
Total votes 5: ↑5 and ↓0 +5
Views 1.6K
Comments 3

В опенсорсе меньше уязвимостей? Похоже, что да

GlobalSign corporate blog Information Security *Open source *Smartphones Software


Безопасность через неясность работает в некоторых редких ситуациях: например, указать нестандартный порт SSH для защиты от брута или закамуфлировать критически важный объект, как сова на фотографии (см. приёмы обфускации кода). Да, есть такие экзотические методы. Но обычно наилучшую защиту обеспечивает максимальная открытость кода.

Чем меньше секретов в коде программы — тем безопаснее.

Насколько справедливо это парадоксальное утверждение? Посмотрим на статистику.
Читать дальше →
Total votes 20: ↑12 and ↓8 +4
Views 10K
Comments 10