Zero
Google è open source uno strumento interno che può aiutare i ricercatori di sicurezza di trovare bug di sicurezza nella visualizzazione dei caratteri (rasterizzazione) componenti.
Lo strumento è denominato BrokenType ed è il lavoro di Google Project Zero security engineer Mateusz Jurczyk, uno dei maggiori esperti relative al tipo di carattere bug di sicurezza [1, 2, 3].
Al suo interno, BrokenType è un fuzzer, che è uno strumento speciale che si nutre di una applicazione software con grandi quantità di dati casuali e analizza il loro uscita per anomalie-che, a sua volta, dare agli sviluppatori un suggerimento circa la presenza di eventuali bug nel codice.
Proprio come la maggior parte di Google di progetti open source, BrokenType è un rispettabile e testato in battaglia strumento. Jurczyk dice di aver usato BrokenType tra il 2015 e il 2017, per trovare e segnalare 20 vulnerabilità nel kernel di Windows font libreria di rasterizzazione, e un altro 19 falle di sicurezza in Microsoft Uniscribe, una API di Windows per il controllo del sistema operativo, tipografia impostazioni.
Jurczyk dice che BrokenType aiuterà i ricercatori di sicurezza di identificare le vulnerabilità che interessano le librerie utilizzate per il rendering di TrueType e OpenType, i due più diffusi formati di font utilizzato oggi.
Vedi anche: Google Project Zero: ‘Ecco il segreto di contrassegnare fino bug prima che gli hacker a trovare li’ | Google si impegna a sventare attacchi di phishing con la nuova Titan Chiave di Sicurezza
A causa di cruciale importanza e la prevalenza di carattere rastering librerie in praticamente tutti i sistemi operativi desktop e mobile, il font, i problemi di sicurezza sono molto ricercati dagli attaccanti, come una vulnerabilità da solo potrebbe consentire minaccia gli attori della destinazione di una moltitudine di versioni dei sistemi operativi e piattaforme.
Per esempio, HackingTeam, un’azienda italiana che vende strumenti di hacking per i governi, è stato conosciuto per avere proprietà e spacciato attacchi mirati relative ai caratteri di vulnerabilità.
Raramente è un anno che è passato negli ultimi memoria senza un carattere di protezione relative problema che affligge gli utenti di Windows, come quelli riportati nel 2013, 2015, 2016, 2017, e che anche quest’anno, nel 2018.
Inoltre, il font, i problemi non sono limitati a livello di sistema operativo componenti, ma anche influenzare il carattere di rasterizzazione librerie incorporato con software più complessi come Firefox o Adobe Reader, solo per citarne alcuni.
Vedi anche: Windows 10 sicurezza: Google Project Zero brandelli di Microsoft unico Bordo della difesa e delle patch di Google reCAPTCHA vulnerabilità di bypass
Questa non è la prima volta che i tecnici di Google hanno open-source un fuzzing strumento.
Google rilasciato in precedenza un fuzzing strumento denominato Flayer nel 2007. Al momento, Google ha detto che i suoi tecnici utilizzati Flayer alla scoperta di alcuni bug presenti in progetti come OpenSSH, OpenSSL, LibTIFF, e libPNG.
Il gigante della ricerca ingegneri in seguito open-source di altri due fuzzers chiamato Syzkaller e OSS-Fuzz, uno per fuzzing OS componenti del kernel, e l’altro per il fuzzing più banali e run-of-the-mill progetti open source e librerie.
Ultimo ma non meno importante, Google open source Donato a fine 2017, un fuzzer per trovare vulnerabilità nei browser moderni. Al momento, Google ha detto Donato aiutato i suoi ingegneri di identificare e segnalare 31 bug di sicurezza nel browser moderni, la maggior parte dei quali sono stati trovati in Safari.
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0