记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

微软启动针对Chromium的零日漏洞计划

2020-10-20 12:10

点击蓝字关注我们





在2020年1月份宣布使用开源代码库重建Edge浏览器之后,微软近日宣布启动了针对Chromium的类似Google Project Zero风格的零日漏洞安全研究计划。一组浏览器安全专家将对Google的浏览器开发库进行深入研究。


微软的工程主管,首席安全官Johnathan Norman在一篇博客文章中指出:“在接下来的几个月中,我们将详细介绍迄今为止发现的一些漏洞,我们如何利用它们,我们用来识别这些问题的方法以及从尝试保护复杂代码库中获得的教训。”


“尽管我们不局限于任何特定安全主题,但我们计划共享有关漏洞利用的代码和文字,发现错误的工具,并分享一些有关我们如何保护Edge的见解。”


项目范围


Norman表示,该研究项目将负责任的披露指南发布“将主要针对Edge和其他基于Chromium的浏览器,但偶尔也会包括其他目标”。


微软的研究项目有些类似于2005年趋势科技的“零日倡议”和2014年启动的Google的“Project Zero”项目,公开披露安全漏洞来推动安全社区的成长。


Norman透露,自迁移到Chromium以来,微软“已向Chromium项目报告了数百个安全漏洞,提供了修复程序,并与Chromium团队合作改善了Windows上的沙箱”。在这项研究的支持下,与传统Edge相比,基于Chromium的Edge的外部研究人员报告的漏洞少了200%,并且“在2020年Pwn2Own竞赛中保持金身不破”。


显然,众多使用Chromium代码库的浏览器产品也都将受益于该零日项目的分享。


零日倡议(Zero Day Initiative)的传播经理达斯汀·柴尔德斯(Dustin Childs)对微软这一举措表示欢迎。他表示:“将几乎所有的Web浏览器鸡蛋都放在一个基于Chromium的篮子中,无疑为攻击者提供了多样化的目标。因此,能够查找漏洞的研究人员越多越好。”


关于Chromium浏览器市场


Chromium包含2500万行代码,是世界上最大,最复杂的开源项目之一,同时也是目前全球最主流的浏览器代码库。凭借7.5%的市场份额,基于Chromium重新打造的Edge已经是Chrome和Firefox之后,第三大流行浏览器。


其他基于Chromium代码库的浏览器产品还有很多,例如Opera、Vivaldi、Brave和Blisk。


相关阅读

零日漏洞:强大又脆弱的武器

Windows任务计划零日漏洞及PoC

Netgear数十款路由器产品曝出高危零日漏洞


合作电话:18311333376
合作微信:aqniu001
投稿邮箱:editor@aqniu.com






知识来源: https://mp.weixin.qq.com/s?__biz=MjM5Njc3NjM4MA==&mid=2651093060&idx=3&sn=2915cd9e92d94f523f7eb8d2d3aeaee6

阅读:362605 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“微软启动针对Chromium的零日漏洞计划”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

十年经营持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

🙇🧎营运续持们我助帮↓

标签云 ☁