1 pontos por GN⁺ 2025-08-12 | 1 comentários | Compartilhar no WhatsApp
  • O comitê de recompensas do VRP do Chrome decidiu uma recompensa de US$ 250 mil para um relatório recente de vulnerabilidade de segurança
  • A vulnerabilidade reportada é um bug no componente ipcz, que permite ao renderizador clonar o handle do processo do navegador e potencialmente permitir a fuga da sandbox
  • O incidente relacionado foi levantado na área Chromium Internals>Mojo>Core
  • Essa vulnerabilidade pode aumentar o risco de segurança do usuário
  • A correção dessa vulnerabilidade está em andamento por meio de mudanças no código

Visão geral do incidente

  • Recentemente, foi relatada uma vulnerabilidade de segurança muito grave no projeto Chromium
  • Essa vulnerabilidade é uma falha no componente ipcz; o renderizador, que deveria permanecer dentro da sandbox, pode clonar o handle do processo do navegador e ter a possibilidade de sair do ambiente de isolamento de segurança
  • Essa ação representa, em essência, uma ameaça à estrutura do sandbox do navegador

Decisão e significado da recompensa do Chrome VRP

  • O painel do Chrome Vulnerability Reward Program (programa de recompensas) decidiu pagar US$ 250 mil para este relatório de vulnerabilidade
  • Esta é uma decisão que reflete a gravidade da falha, a dificuldade de descoberta e o impacto dela
  • É um exemplo do compromisso em incentivar a submissão de relatórios para falhas de segurança importantes

Tratamento interno da issue

  • Esta issue está sendo tratada nas categorias Internals>Mojo>Core e Internals>Mojo
  • Várias mudanças de código relacionadas são necessárias, incluindo alguns commits no Gerrit
  • Procedimentos formais de revisão, como revisão de documento de design, também estão em andamento

Patch e impacto

  • O problema relacionado está em processo de patch por meio de alterações de código
  • O incidente afeta vários marcos de release do Chromium e tem alta prioridade para atualização de segurança
  • Há risco de que esse bug comprometa as barreiras de segurança do sistema do usuário

Itens relacionados e resposta do sistema

  • Um registro de IRM (Incident Response Management) também foi criado para este incidente
  • Os detalhes desse bug estão sendo rastreadados e com controle de acesso por meio de diversos sistemas de gestão interna, incluindo mudanças de código geradas automaticamente, problemas de segurança relacionados, revisão de design e gerenciamento de release
  • Há demanda por uma distribuição e anúncio rápidos e eficazes de patches de segurança para a comunidade e os usuários

1 comentários

 
GN⁺ 2025-08-12
Opinião do Hacker News
  • Ele disse que tinha um exploit bastante confiável no navegador mais usado e achava que, se o tivesse vendido no mercado negro, teria ganho muito mais dinheiro sem pagar impostos. Ferramentas de segurança como EDR (Endpoint Detection and Response) agora estão amplamente implantadas, então é mais provável que o exploit seja detectado rapidamente, mas algumas agências de inteligência de países autoritários provavelmente vão considerar que vale a pena fazer esse tipo de hacking.
    • Com a pergunta de se seria possível ganhar mais sem pagar impostos vendendo no mercado negro, houve também comentários de que não se sabe onde e como encontrar criminosos confiáveis. Como as negociações dependem de anonimato e confiança, mesmo recebendo dinheiro pode haver outros riscos, como blackmail, e esconder um valor grande também não é simples, então fica a dúvida de como vender um exploit com segurança. Também foi dito que ganhar desse jeito impede de postar no blog e de divulgar o nome para pesquisadores ou recrutadores, o que pode prejudicar carreira e reputação.
    • Há também a ideia de que vender no mercado negro não significa receber dinheiro automaticamente sem pagar imposto; na prática acontece o contrário. Como um grande valor pode acabar entrando na conta bancária, acaba que há fiscalização; além de pagar imposto, é necessário lavar dinheiro, e ainda pagar taxa a um “money launderer”, então no fim parece imposto duplo. Em criptomoedas, é o mesmo, porque costuma-se pedir prova de origem da mineração, então não é uma solução fácil.
    • Em vez de comparar tudo só pelo dinheiro, tem gente falando para tentarmos ser pessoas melhores. É um ponto importante pensar que o lucro potencial pode abrir espaço para muitos criminosos causarem danos a milhões de pessoas.
    • Não necessariamente se ganha mais e sem imposto vendendo no mercado negro. Foi compartilhado o slide 72 de uma comunicação que diz que a evasão de sandbox do Chrome e seus contornos podem render oficialmente até US$ 200.000. Como existe essa apresentação no GitHub e o GitHub está indisponível no momento, foi compartilhado também o link do reddit.
    • Esse tipo de vulnerabilidade é um dos poucos casos em que há um mercado com liquidez. Em especial, esses bugs podem ser revendidos várias vezes, e existem empresas especializadas em vender para agências de inteligência e órgãos de aplicação da lei em nível nacional.
  • Para evasão de sandbox e relatório de alta qualidade no Chrome, a recompensa é de US$ 250.000. A Mozilla é citada em comparação por pagar apenas US$ 20.000 pela mesma vulnerabilidade, com links para regras oficiais e Bug Bounty da Mozilla.
    • Pela Wikipédia, esse valor representa 0,012% (em relação ao lucro líquido da Mozilla). Comentários também disseram que esse tipo de comparação não é adequado, mas em porcentagem fica em torno de 50x da Google, então é suficiente. (Houve erro no cálculo original da proporção; corrigido para 0,012% — US$ 20.000 são 0,012% de US$ 157.000.000, ou seja, 50x a porcentagem da Google)
    • Como o Chrome tem de 15 a 20 vezes mais usuários que o Firefox, o preço dos bugs no mercado negro também se forma mais alto nessa proporção. O Safari pode ser ainda mais caro por ter usuários com mais recursos financeiros e menos foco em segurança.
    • Olhando para a situação financeira das duas empresas, a Google ganha muito mais dinheiro que a Mozilla.
    • Teve um comentário sugerindo fazer uma paródia de “se todo mundo virasse CEO da Mozilla no HN”. Ele imagina, em contraste com todos entrando no escritório e defendendo com paixão suas políticas favoritas (privacidade, reforço de padrões da web, melhoria de desempenho, aumento da recompensa de bug bounty etc.), um vídeo em câmara lenta com uma linha vermelha de queda de receita caindo continuamente ao fundo.
    • No gray market, a recompensa para vulnerabilidades do Firefox também fica bem mais baixa, tanto na demanda quanto na oferta.
  • O comentário com o texto “abrir o ticket 5 dias antes para liberar só essa semana” foi percebido como um cumprimento relacionado ao Defcon.
  • Só para constar, esse bug é uma questão de lógica/temporização e não é do tipo que dá para prevenir apenas porque foi escrito em Rust.
  • Fica a dúvida se existe algum material que explique de forma simples o que exatamente é um bug de sandbox escape, para quem não conhece bem “renderer”, “native API” e “sandbox” em navegador.
    • Primeiro, ganhar controle do processo do renderer por meio de bug no motor JavaScript etc. é a etapa 1, e nesse estado o renderer ainda fica preso no sandbox. O bug deste post é da etapa 2 (sandbox escape). O patch.diff publicado foi explicado como um patch para simular um processo renderer já comprometido.
  • O comentário relacionado à recompensa está aqui
  • Houve comentários de admiração pelo dinheiro em nível de “mudar a vida”, além de dizer que é bom ver esse tipo de recompensa.
    • Onde moro, na Dinamarca, esse valor nem chega para comprar um estúdio, mesmo sem imposto.
    • Quando recebi meu primeiro bônus de US$ 240.000, achei que minha vida mudaria, mas saiu US$ 100.000 de imposto. Depois de gastar US$ 20.000 com carro, não sobrou quase nada para fazer. Era insuficiente para o preço de imóveis em LA/SF/NYC, e também para abrir uma startup. Morando como universitário dava para durar 2 ou 3 anos, mas eu já tinha 34 anos e era difícil voltar para a vida de estudante. No fim, realmente não mudou muita coisa. Claro que é bom ter recebido esse dinheiro alto, mas compartilhou uma experiência de que a vida não mudou tanto quanto imaginava. Foram 25 anos atrás, e hoje, em qualquer uma das três cidades, US$ 1 milhão (US$ 600.000 líquidos) não é um valor que muda a vida. No máximo dá para bancar entrada de casa ou universidade dos filhos, e não sentiu a liberdade que esperava.
    • A percepção do valor depende de onde se vive. Em países desenvolvidos, é difícil dizer que US$ 250.000 é dinheiro para mudar a vida; fica mais como “dinheiro para aliviar um pouco a preocupação”. Depois dos impostos, nem dá para comprar uma casa.
  • Encontrar bugs em projetos tão grandes realmente impressiona, é como procurar agulha no palheiro.
    • Em projetos grandes e complexos, há mais código e mais bugs, então a busca por issues pode ser mais fácil do que em projetos pequenos. Mas para bugs graves como sandbox escape, como há política de alta recompensa do Google, já houve muita gente fazendo análise manual e automatizada (incluindo fuzzer tools), então é de fato difícil de achar. Em 2014, descobriu um bug no Chrome por acaso (não estava procurando bug; apenas percebeu algo estranho ao escrever JS) e ao reportar recebeu US$ 1.500. Também compartilhou uma experiência dizendo que levou uns 30 minutos. Link relacionado
    • Por outro lado, em projetos grandes também pode ser mais fácil por causa de interações estranhas entre componentes. O ponto é concentrar em partes que formam limites de segurança críticos (desta vez, a comunicação entre renderer e broker) e fuçar em casos-limite. Como o Google paga por esse tipo de bug, se ele for encontrado a recompensa costuma ser alta. Claro que ainda é verdade que só um pesquisador muito habilidoso consegue encontrar.
  • A rapidez no pagamento da recompensa também chama atenção. A recompensa veio em cerca de 4 semanas, enquanto em muitas empresas o reconhecimento do relatório de bug pode levar meses.
  • Há ceticismo se um nível desse bug bounty vai continuar caso o DOJ imponha a divisão do Chrome e surja uma nova estrutura de propriedade.