يكسب باحثو الأمن في Apple مكافأة أخطاء Google بعد الكشف عن ثغرة أمنية في Chrome
أكدت Google أن فريق هندسة الأمان والهندسة المعمارية في Apple قد اكتشف ثغرة أمنية شديدة الخطورة في متصفح الويب Chrome. علاوة على ذلك ، حصل فريق SEAR على مكافأة خطأ قدرها 15000 دولار من Google للاكتشاف والكشف. على الرغم من أنه قد يبدو مفاجئًا لبعض القراء ، فقد دفعت Google لشركة Apple مقابل اختراق أمان Chrome بشكل فعال ؛ وهذا شيء جيد.
ما هو Apple SEAR؟
تم تكليف فريق SEAR من Apple بتوفير الأساس لأمان نظام التشغيل عبر جميع خطوط إنتاج التكنولوجيا العملاقة القائمة على Cupertino. يشتهر الباحثون الأمنيون داخل فريق SEAR ، بالطبع ، بالكشف عن نقاط الضعف داخل أمثال iOS. إذا صادفوا شيئًا يتعلق بمنتج طرف ثالث كجزء من عملية الأمان المستمرة ، فسيتم إجراء كشف مسؤول. جاء خبر هذا الكشف بالذات في 2 أغسطس إعلان تحديث Chrome تأكيد 11 إصلاحًا أمنيًا كنتيجة لتقارير ضعف المساهمين الخارجيين.
المزيد من فوربستحذر Google من عمليات حذف محتوى Gmail والصور لبدء ديسمبر 2023بواسطة ديفي ويندر
تدفع Google لشركة Apple مبلغ 15000 دولار أمريكي مقابل CVE-2023-4072
CVE-2023-4072 هي ثغرة “خارج الحدود للقراءة والكتابة” ضمن تنفيذ WebGL في Chrome. WebGL هي واجهة برمجة تطبيقات JavaScript التي تتيح عرض الرسومات التفاعلية داخل المستعرض دون الحاجة إلى أي مكونات إضافية. توجد ثغرة خارج الحدود حيث يمكن للبرنامج قراءة ، وفي هذه الحالة كتابة ، بيانات من خارج حدود منطقة مخصصة من الذاكرة.
لا تكشف Google الكثير عن هذه الثغرة الأمنية ، حيث تبقي التفاصيل الفنية مقيدة حتى يحين الوقت الذي يقوم فيه غالبية مستخدمي Chrome بتنشيط التحديث. وفقًا لمنصة استخبارات التهديد قاعدة بيانات الضعف، ومع ذلك ، “من المعروف أنه يؤثر على السرية والنزاهة والتوافر.” علاوة على ذلك ، تنص VulnDB على أن تفاعل المستخدم مطلوب للاستغلال الناجح. لا توجد ثغرات معروفة متاحة في هذا الوقت أيضًا ، وهي أخبار جيدة.
مكافآت الأخطاء التي يبلغ مجموعها 123000 دولار تدفعها Google
إجمالاً ، منحت Google مكافآت يبلغ مجموعها 123000 دولار أمريكي مقابل الثغرات الأمنية التي تم تأكيدها في التحديث الأخير ، والتي تنقل Chrome إلى الإصدارات 115.0.5790.170 لنظامي التشغيل Mac و Linux ، و 115.0.5790.170/.171 لنظام التشغيل Windows.
ذهبت أكبر مكافأة إلى “Jerry” مقابل CVE-2023-4068 ، وهي ثغرة من نوع الارتباك في محرك Chrome V8 JavaScript ، ووصلت إلى 23000 دولار. حصل جيري على مكافأة إضافية قدرها 20000 دولار أمريكي مقابل CVE-2023-4070 ، وهي ثغرة أمنية أخرى من نوع V8.
تم منح Man Yue Mo من GitHub Security Lab مبلغ 21000 دولار مقابل ، كما خمنت ، ثغرة في الارتباك من نوع آخر في محرك V8 من Chrome ، والمسمى CVE-2023-4069.
ذهبت مكافأة قدرها 17000 دولار إلى Guang و Weipeng Jiang من VRI لـ CVE-2023-5071 ، وهي ثغرة في وظيفة Visuals.
حصل Jaehun Jeong من Theori على 10000 دولار للإبلاغ عن ثغرة أمنية ، CVE-2023-4073 ، في Almost Native Graphics Layer Engine الذي طورته Google.
تم دفع مكافأة قدرها 8000 دولار أمريكي مقابل CVE-2023-4074 ، وهي ثغرة أمنية كشف عنها باحث مجهول تؤثر على جدولة مهام Blink في Chrome.
أبلغ كاسيدي كيم عن ثغرة CVE-2023-4075 ، وهي ثغرة خالية من الاستخدام في Cast وحصل على 5000 دولار.
حصل الباحثون المجهولون على 3000 دولار و 1000 دولار على التوالي ، ل CVE-2023-4077 و CVE-2023-4078 ، الثغرات الأمنية التي تؤثر على وظيفة ملحقات Chrome.
كيفية تأمين جوجل كروم
يتم تنزيل تحديثات متصفح Chrome تلقائيًا ، وقد بدأت Google بالفعل في طرح أحدث إصلاحات الأمان. نصيحتي دائمًا هي التأكد من تحديثك من خلال التوجه إلى خيار المساعدة | حول من قائمة Chrome ، والتي ستبدأ في تنزيل آخر تحديث. حتى يتم تنشيط التحديث وحمايتك من التعرض لهذه الثغرات الأمنية ، ومع ذلك ، تحتاج إلى إعادة تشغيل المتصفح.