微软启动针对Chromium的零日漏洞计划

在2020年1月份宣布使用开源代码库重建Edge浏览器之后,微软近日宣布启动了针对Chromium的类似Google Project Zero风格的零日漏洞安全研究计划。一组浏览器安全专家将对Google的浏览器开发库进行深入研究。

微软的工程主管,首席安全官Johnathan Norman在一篇博客文章中指出:“在接下来的几个月中,我们将详细介绍迄今为止发现的一些漏洞,我们如何利用它们,我们用来识别这些问题的方法以及从尝试保护复杂代码库中获得的教训。”

“尽管我们不局限于任何特定安全主题,但我们计划共享有关漏洞利用的代码和文字,发现错误的工具,并分享一些有关我们如何保护Edge的见解。”

项目范围

Norman表示,该研究项目将负责任的披露指南发布“将主要针对Edge和其他基于Chromium的浏览器,但偶尔也会包括其他目标”。

微软的研究项目有些类似于2005年趋势科技的“零日倡议”和2014年启动的Google的“Project Zero”项目,公开披露安全漏洞来推动安全社区的成长。

Norman透露,自迁移到Chromium以来,微软“已向Chromium项目报告了数百个安全漏洞,提供了修复程序,并与Chromium团队合作改善了Windows上的沙箱”。在这项研究的支持下,与传统Edge相比,基于Chromium的Edge的外部研究人员报告的漏洞少了200%,并且“在2020年Pwn2Own竞赛中保持金身不破”。

显然,众多使用Chromium代码库的浏览器产品也都将受益于该零日项目的分享。

零日倡议(Zero Day Initiative)的传播经理达斯汀·柴尔德斯(Dustin Childs)对微软这一举措表示欢迎。他表示:“将几乎所有的Web浏览器鸡蛋都放在一个基于Chromium的篮子中,无疑为攻击者提供了多样化的目标。因此,能够查找漏洞的研究人员越多越好。”

关于Chromium浏览器市场

Chromium包含2500万行代码,是世界上最大,最复杂的开源项目之一,同时也是目前全球最主流的浏览器代码库。凭借7.5%的市场份额,基于Chromium重新打造的Edge已经是Chrome和Firefox之后,第三大流行浏览器。

其他基于Chromium代码库的浏览器产品还有很多,例如Opera、Vivaldi、Brave和Blisk。

相关阅读

零日漏洞:强大又脆弱的武器

Windows任务计划零日漏洞及PoC

凡本网站转载的所有的文章、图片、音频、视频文件等资料的版权归版权所有人,如果您发现网站上有侵犯您的知识产权的作品,请与我们取得联系,我们会及时修改或删除。
推荐产品
PRODUCT
抗D云WAF,DDOS攻击,DDOS流量清洗,高防CDN,CDN防御服务器,CDN防护

抗D云WAF

下一代Web类业务DDoS防御服务,自研云甲DDoS清洗系统,DDoS清洗中心覆盖全球主要国家,千万级CC攻击防御能力,让您的业务固若金汤。

查看详情
云御游戏盾,游戏,游戏盾,直播高防cdn,游戏服务器多少钱,高防主机

云御游戏盾

专为在线游戏打造的终极DDoS防御服务,多种DDoS清洗算法和规则,端云联动,无损清洗DDoS攻击,Anycast近源清洗和加速网络保障游戏丝滑流畅。

查看详情

马上开启您的安全之旅

立即开启