Корпорация Google объявила об учреждении программы исследовательских грантов по поиску уязвимостей в браузерных JavaScript-движках. Подходящие для исследований движки – JavaScriptCore (Safari), V8 (Chrome, Edge) и Spidermonkey (Firefox).
У программы Fuzzilli Research Grant есть одно главное правило – все ошибки и уязвимости должны быть выявлены с помощью фаззинга (fuzzing). Это техника тестирования ПО, зачастую автоматическая или полуавтоматическая, которая заключается в передаче приложению на вход неожиданных, случайных, неправильных данных.
Программа Fuzzilli Research Grant является пилотной, поэтому имеет ограниченный срок действия – с 1 октября 2020 г. по 1 октября 2021 г. В Google сообщили, что обо всех ошибках, которые будут обнаружены во время пилотной программы, необходимо уведомлять пострадавших разработчиков. При этом исследователи смогут получить дополнительные выплаты за ошибки, которые будут обнаружены во время пилотной программы.
Подходящие движки – JavaScriptCore (Safari), V8 (Chrome, Edge) и Spidermonkey (Firefox), но исследователи могут также предложить другие движки, которые работают на JavaScript.
Механизмы JavaScript являются неотъемлемой частью современных веб-браузеров. Их роль состоит в том, чтобы читать файлы и JS-код, которые браузер загружает или получает с веб-сайта, интерпретировать их, а затем указывать другим компонентам браузера, как отображать результат (веб-страницу, анимацию, фоновые операции, расширения браузера и т. п.). Они играют главную роль во многих современных браузерах, поэтому постоянно подвергаются атакам со стороны киберпреступников.
Самуэль Гросс, исследователь безопасности из группы Google Project Zero, отметил: «Безопасность JavaScript-движков до сих пор обладает определяющим значением для обеспечения пользовательской безопасности, о чем свидетельствуют найденные на так давно эксплойты нулевого дня, которые эксплуатируют уязвимости в V8, JavaScript-движке, лежащем в основе Google Chrome».
С дополнительными правилами программы Fuzzilli Research Grant можно ознакомиться по следующей ссылке.
ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ
