Google раскрыл детали уязвимостей в Chrome, за которые заплатил $100 000

Еще в 2015 году компания Google решила «повысить ставки» и сообщила, что заплатит $100 000 специалисту, который сумеет создать и продемонстрирует цепочку эксплоитов, гарантирующую устойчивую компрометацию Chromebox или Chromebook через веб-страницу в гостевом режиме. Напомню, что до этого компания предлагала за такой proof-of-concept $50 000.

На прошлой неделе стало известно, что еще в сентябре 2017 года ИБ-специалист, известный под псевдонимом Gzob Qq, обнаружил ряд уязвимостей, которые позволяют добиться устойчивой компрометации устройств Chromebox или Chromebook, соблюдая при этом и остальные условия «задачи».

Цепочка эксплоитов Gzob Qq включала в себя следующие баги: уязвимость в движке V8 JavaScript, связанная с out-of-bounds доступом к памяти (CVE-2017-15401); эскалация привилегий в PageState (CVE-2017-15402); возможность осуществить инъекцию команд в компонент network_diag (CVE-2017-15403); а также проблему symlink traversal в crash_reporter (CVE-2017-15404) и cryptohomed (CVE-2017-15405).

Специалист продемонстрировал инженерам Google работающий proof-of-concept эксплоит, который тестировался на Chrome 60 и Chrome OS версии 9592.94.0. В результате, в конце октября, с выходом Chrome OS 62 версии 9901.54.0/1 найденные исследователем проблемы были устранены, наряду с недавно обнаруженной уязвимостью KRACK.

Как оказалось, еще в октябре эксперта уведомили о том, что он получает вознаграждение Pwnium, в размере $100 000. Но детали об атаке и отдельных уязвимостях были раскрыты только на прошлой неделе, и теперь с подробным отчетом Gzob Qq можно ознакомиться здесь.

Стоит отметить, что это не первый раз, когда Gzob Qq получает столь крупное вознаграждение за эксплоиты и баги. Так, год назад, он уже удостаивался такой же крупной награды от Google, продемонстрировав весьма похожую PoC-цепочку эксплоитов для Chrome OS.