Минувший вторник выдался весьма напряженным для разработчиков браузеров.

Три крупнейших вендора, Google, Mozilla и Microsoft, объявили о том, что к началу следующего года откажутся от поддержки устаревшего и ненадежного алгоритма шифрования RC4.

Google заявила, что начиная с Chrome 45 отключит проигрывание рекламного контента на базе Flash по умолчанию. В этой версии браузера также были устранены 29 уязвимостей безопасности.

Компания не забыла наградить сторонних исследователей, обнаруживших уязвимости, закрытые в новой версии браузера. Каждый из трех cross-origin-обходов в DOM и ServiceWorker был оценен в $7,5 тыс., причем две из этих уязвимостей обнаружил Мариуш Млыньский (Mariusz Mlynski). Млыньский — весьма известный багхантер, работающий с наиболее популярными браузерами и особо отличившийся во время состязания Pwn2Own в 2014 году, показав баг для Mozilla, принесший ему $50 тыс.

Всего было выдано 10 наград:

  • [$7500][516377] Высокая опасность CVE-2015-1291: cross-origin-обход в DOM. Обнаружена анонимным исследователем.
  • [$7500][522791] Высокая опасность CVE-2015-1292: cross-origin-обход в ServiceWorker. Обнаружена Мариушем Млыньским.
  • [$7500][524074] Высокая опасность CVE-2015-1293: cross-origin-обход в DOM. Обнаружена Мариушем Млыньским.
  • [$5000][492263] Высокая опасность CVE-2015-1294: use-after-free-уязвимость в Skia. Обнаружена cloudfuzzer.
  • [$3000][502562] Высокая опасность CVE-2015-1295: use-after-free-уязвимость в Printing. Обнаружена анонимным исследователем.
  • [$1000][421332] Высокая опасность CVE-2015-1296: символьный спуфинг в omnibox. Обнаружена zcorpan.
  • [$3000][510802] Средняя опасность CVE-2015-1297: ошибка определения разрешений в WebRequest. Обнаружена Александром Кашевым.
  • [$3000][518827] Средняя опасность CVE-2015-1298: ошибка проверки URL в расширениях. Обнаружена Робом Ву (Rob Wu).
  • [$2000][416362] Средняя опасность CVE-2015-1299: use-after-free-уязвимость в blink. Обнаружена taro.suzuki.dev.
  • [$1000][511616] Средняя опасность CVE-2015-1300: утечка информации в Blink. Обнаружена cgvwzq.

Еще на прошлой неделе Google заявила, что отключит автоматическое проигрывание рекламного контента на базе Flash под предлогом борьбы за производительность, однако подобный шаг вызвал одобрение и у ИБ-экспертов. На подобную меру вслед за Google пошла и Amazon.

Flash Player остается одной из наиболее популярных мишеней злоумышленников, поскольку он используется множеством платформ и благодаря тому, что в большинстве случаев рекламный контент на его основе автоматически проигрывается на большинстве сайтов, тем самым исполняет вредоносный код, сокрытый в рекламном контенте. Таким образом Google рассчитывает мотивировать рекламодателей конвертировать Flash-контент в HTML5, и компания уже начала автоматически конвертировать часть контента в HTML5.

В июне представители Google заявили, что к решению отключить автоматическое проигрывание Flash-контента их подтолкнуло желание увеличить скорость загрузки страниц и время активной работы мобильных устройств.

Разработчики наиболее популярных браузеров заявили, что отключение поддержки алгоритма RC4 состоится в январе-феврале 2016 года. Первым браузером, в котором будет отключена поддержка этого алгоритма, станет Firefox 44, релиз которого намечен на конец января, а затем, к концу февраля, поддержку отключат и в Chrome, Internet Explorer 11 и Microsoft Edge, заявили представители Google и Microsoft.

Уже более десяти лет исследователи обнаруживают дыры в шифровании RC4, в особенности в шифровании открытого текста. Атакующий, располагающий запасом времени, вычислительными мощностями и способный послать достаточное количество TLS-запросов, сможет сломать шифр, защищающий открытый текст.

Категории: Уязвимости