您的位置: 首页  >  文章  >  微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

分类: 文章 2022-10-15 12:14:16

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

使用开源代码库重构 Edge 浏览器后,微软宣布推出专注于 Chromium 的类似于 Project Zero 风格的安全研究项目。

微软重新发布基于 Chromium 的浏览器 Edge 接替 IE 浏览器后,组织浏览器安全专家团队对谷歌的浏览器构建仓库进行研究。微软的首席安全工程主管 Johnathan Norman 指出,“在接下来的数个月时间里,我们将详述迄今为止找到的某些漏洞、我们如何利用、识别这些漏洞的方法、以及从尝试加固复杂代码库经历中学到的经验。他表示,”尽管我们并未局限于任何特定的主题,但我们计划分享 exploit 代码和 exploit、漏洞查找工具并分享保护 Edge 安全的一些经验和想法。“

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

项目的覆盖范围

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

Norman 表示将根据负责任的披露指南公布研究成果,“虽然主要关注 Edge 和其它基于 Chromium 的浏览器,但时不时也会包括其它目标。”这实际上是微软效仿趋势科技和谷歌分别在2005年和2014年推出的 Zero Day Initiative (ZDI) 和谷歌的 Project Zero 研究项目。这两个项目旨在研究 0day 漏洞并公开披露研究成果,使更广的信息安全社区可以获益。

接受谷歌关于更广范围的 Chromium 协作可能性讨论邀请后,微软的“安全研究员花费了数月的时间研究以往的漏洞以及 exploit 技术,通过独立安全研究员、谷歌 Project Zero 和 Zero Day Initiative 等发布的 writeup,确保 Edge 新版的安全。

Edge 基于微软自己的专有浏览器和 JavaScript 引擎,在2020年1月作为基于 Chromium 的 Web 浏览器重新发布。

Norman 指出,这一动作意味着微软会汲取自2008年推出以来,Chromium 所开展的安全研究经验和教训,并“重新思考”保护 Edge 浏览器安全的“方法”。

自迁移至 Chromium 后,微软已经 “向 Chromium 项目报告了数百个安全漏洞、贡献修复方案,并和 Chromium 团队改进 Windows 上沙箱的安全。“

在该研究项目的支持下,和遗留的 Edge 浏览器相比,外部研究人员从基于 Chromium 的 Edge 浏览器中找到的漏洞减少了200%,而且“在2020年 Pwn2Own 黑客大赛中毫发无损。”

然而,随着越来越多的浏览器都在使用相同的代码库,这项研究带来的好处将覆盖更广范围的人群。Norman 指出,”为此,我们决定公开研究成果,希望能够帮助别人,就像我们在重新设计 Edge 浏览器得到帮助那样。“

Zero Day Initiative 计划的沟通经历 Dustin Childs 对这一消息表示赞赏。

他表示,“将几乎所有的 Web 浏览器这些‘蛋’都放在一个基于 Chromium 的‘篮子’里当然为攻击者提供了多种目标。挖掘漏洞的研究人员人数越多,越好。“

Childs 表示,“看到微软所找到的漏洞数量和类型之多”,以及“他们能否缩小 Chromium 更新之时和更新集成到基于 Chromium 的 Edge 浏览器之时之间的补丁差距” 激起了他的好奇心。虽然这种延迟时间可能很短,但仍然使攻击者获得机会窗口。“

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

Chromium 浏览器的市场份额

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

Chromium 包含2500万行代码,使世界上最大也最为复杂的开源项目之一。

目前,Edge 浏览器的市场份额为 7.5%,是继谷歌 Chrome 和 Firefox 之后的第三大最流行的浏览器。Chrome 浏览器也基于 Chromium 之上,但 Firefox 浏览器并非如此。

其它仍然活跃在市场上但比重较小的基于 Chromium 的浏览器还包括 Opera、Vivaldi、Bravehe  Blisk 等。

目前微软尚未就此事置评。我们将持续关注动态。

推荐阅读

微软 Edge 浏览器被指共享隐私遥测数据

奇安信代码卫士帮助微软修复Edge浏览器和Windows内核高危漏洞,获官方致谢和奖金

微软推出 Edge Insider 漏洞奖励计划,最高赏金3万美元

原文链接

https://portswigger.net/daily-swig/microsoft-unveils-plans-for-project-zero-style-chromium-research-program

题图:Pixabay License

文内图:bleepingcomputer

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

   微软推出 “Edge 漏洞研究计划”,类似于谷歌的 Project Zero 项目 觉得不错,就点个 “在看” 吧~

相关推荐