1 điểm bởi GN⁺ 2025-08-12 | 1 bình luận | Chia sẻ qua WhatsApp
  • Ban thưởng VRP của Chrome vừa quyết định mức thưởng 250.000 USD cho một báo cáo lỗ hổng bảo mật mới được ghi nhận gần đây
  • Lỗ hổng được báo cáo là lỗi của thành phần ipcz, cho phép quá trình renderer sao chép handle của tiến trình trình duyệt, mở ra khả năng thoát khỏi sandbox
  • Vấn đề liên quan được nêu trong phạm vi Chromium Internals>Mojo>Core
  • Lỗ hổng này có thể làm tăng mối đe dọa an ninh cho người dùng
  • Lỗi này đang được vá qua các thay đổi mã

Tổng quan sự kiện chính

  • Gần đây đã ghi nhận một lỗ hổng bảo mật rất nghiêm trọng trong dự án Chromium
  • Lỗi này thuộc về thành phần ipcz, trong đó renderer—phần tử vốn phải nằm trong sandbox—có thể sao chép handle của tiến trình trình duyệt và vì thế có khả năng thoát khỏi môi trường cách ly an toàn
  • Hành vi đó về bản chất là một mối đe dọa trực tiếp đối với cấu trúc sandbox của trình duyệt

Quyết định và ý nghĩa của giải thưởng Chrome VRP

  • Ủy ban của Chrome Vulnerability Reward Program (VRP) đã quyết định trao 250.000 USD cho báo cáo lỗi này
  • Đây là quyết định phản ánh mức độ nghiêm trọng của lỗ hổng, độ khó phát hiện và phạm vi ảnh hưởng của nó
  • Đây là một ví dụ cho thấy cam kết mạnh mẽ trong việc khuyến khích tố giác các lỗi bảo mật nghiêm trọng

Xử lý sự cố nội bộ

  • Vấn đề này được xử lý tại danh mục Internals>Mojo>CoreInternals>Mojo
  • Cần thực hiện nhiều thay đổi mã liên quan, bao gồm cả một số commit trên Gerrit
  • Các bước xem xét chính thức như đánh giá tài liệu thiết kế cũng đang được tiến hành

Bản vá và tác động

  • Vấn đề liên quan đang được thông qua quy trình sửa đổi mã nguồn
  • Sự cố ảnh hưởng đến nhiều mốc phát hành của Chromium và có ưu tiên cao cho cập nhật bảo mật
  • Lỗi này có thể làm suy yếu rào chắn bảo mật trên hệ thống của người dùng

Các nội dung liên quan và phản ứng hệ thống

  • Đã tạo hồ sơ IRM (Incident Response Management) cho sự cố này
  • Thông tin chi tiết của lỗi đang được theo dõi và kiểm soát qua nhiều hệ thống nội bộ, bao gồm thay đổi mã do tự động sinh, vấn đề bảo mật liên quan, đánh giá thiết kế, và quản lý phát hành
  • Việc phân phối nhanh và hiệu quả bản vá bảo mật, cùng với thông báo tới cộng đồng và người dùng, là rất cần thiết

1 bình luận

 
GN⁺ 2025-08-12
Bình luận Hacker News
  • Anh ấy cho rằng có một exploit khá đáng tin cậy trên trình duyệt được dùng rộng rãi nhất, và nghĩ rằng nếu bán trên chợ đen thì có thể kiếm được nhiều hơn rất nhiều khi không phải nộp thuế. Tuy nhiên, với các công cụ an ninh như EDR (Endpoint Detection and Response) đã được triển khai phổ biến, khả năng bị phát hiện lỗ hổng trở nên cao hơn, nhưng vẫn có ý kiến cho rằng một số cơ quan tình báo của các chế độ độc tài vẫn coi việc dùng nó để hack phóng viên là đáng giá.
    • Có ý kiến đặt câu hỏi liệu có thể kiếm được nhiều hơn ở chợ đen mà không phải nộp thuế hay không, và băn khoăn không biết nên tìm “kẻ phạm pháp đáng tin cậy” ở đâu, bằng cách nào. Giao dịch phải dựa trên sự ẩn danh và lòng tin, ngay cả khi đã nhận tiền vẫn có thể phát sinh rủi ro khác như bị tống tiền, và việc giấu một khoản tiền lớn không hề dễ, nên họ tò mò không biết nên bán exploit một cách an toàn ra sao. Họ cũng cho rằng kiếm tiền theo cách này thì không thể đăng bài blog, không thể công khai tên tuổi với các nhà nghiên cứu hay recruiter, nên thiệt hại cho sự nghiệp và danh tiếng.
    • Có ý kiến cho rằng bán trên chợ đen không hề tự động thành tiền “không thuế” mà ngược lại. Một khi có khoản tiền lớn đổ vào tài khoản ngân hàng thì chắc chắn bị theo dõi, nên giống như khi nộp thuế vẫn phải rửa tiền; lại phải trả phí cho người rửa tiền, vì vậy cuối cùng gần như bị đánh thuế hai lần. Với tiền mã hóa cũng tương tự, vì thường bị yêu cầu chứng minh nguồn gốc (ví dụ chứng minh đã “đào” tiền), nên đây không phải giải pháp dễ dàng.
    • Có người chỉ nhìn vào con số tiền rồi so sánh, nên bài viết kêu gọi nghĩ theo hướng “làm người tử tế hơn”. Việc mở ra cơ hội cho vô số tội phạm gây hại cho hàng triệu người chỉ vì lợi nhuận tiềm năng là điều cần được cân nhắc.
    • Một lần nữa có ý kiến rằng không hẳn bán chợ đen mới nhận được nhiều hơn không thuế. Đối với việc thoát khỏi sandbox của Chrome, Google chính thức công bố mức thưởng tới 200.000 USD trong slide 72 của buổi thuyết trình này. Họ cũng chia sẻ rằng bản trình bày có trên GitHub, nhưng hiện GitHub đang lỗi nên có thêm link reddit này để truy cập.
    • Một ý kiến khác nói rằng đây là một trong những trường hợp có “thị trường lỏng” tồn tại. Đặc biệt, những lỗ hổng như vậy có thể tái bán nhiều lần; có những công ty chuyên bán cho các cơ quan tình báo cấp quốc gia hoặc cơ quan thực thi pháp luật.
  • Với việc thoát sandbox và báo cáo chất lượng cao, Chrome trả thưởng 250.000 USD. Họ so sánh rằng Mozilla chỉ trả 20.000 USD cho cùng loại lỗ hổng theo quy định chính thứcMozilla bug bounty.
    • Theo Wikipedia, mức này tương đương khoảng 0,012% lợi nhuận ròng của Mozilla. Có ý kiến cho rằng cách so sánh này chưa chuẩn, nhưng khi quy đổi theo tỷ lệ thì vẫn tương đương khoảng 50 lần của Google, nên họ cho rằng là đủ lớn. (Ban đầu tính sai tỷ lệ phần trăm, sau đó sửa lại là 0,012% — 20.000 USD là 0,012% của 157.000.000 USD, tức là gấp 50 lần tỷ lệ của Google)
    • Chrome có nhiều người dùng hơn Firefox 15~20 lần, nên giá lỗ hổng trên chợ đen cũng được hình thành cao hơn. Safari có thể còn đắt hơn vì phần lớn người dùng khá giàu có và ít quan tâm đến bảo mật.
    • Khi nhìn vào tình hình tài chính của hai công ty, có ý kiến cho rằng Google kiếm được nhiều tiền hơn Mozilla rất nhiều.
    • Có người muốn đùa rằng sẽ làm một parody trong đó “đóng vai CEO Mozilla trên HN” rồi nói những gì mình muốn. Họ hình dung cảnh mọi người đi vào văn phòng với vẻ nghiêm túc, nhiệt tình bảo vệ từng chính sách yêu thích của mình (bảo mật dữ liệu, tăng cường chuẩn web, cải thiện tốc độ, tăng thưởng bug bounty, v.v.), đối lập với hình ảnh tổng thể là đồ họa slow motion cho thấy một đường đỏ (doanh thu giảm) cứ hạ dần ở nền.
    • Ở chợ xám, lỗ hổng Firefox cũng bị đẩy giá thấp hơn do cầu và cung đều bị hạn chế.
  • Có bình luận tươi cười khi thấy thông điệp “mở trước 5 ngày để công bố trong tuần này”, gợi liên tưởng chào hỏi theo hướng Defcon.
  • Có ghi chú rằng lỗi này là vấn đề logic/đồng bộ thời điểm, không phải loại lỗi có thể ngăn chặn chỉ vì viết bằng Rust.
  • Có người thắc mắc liệu có tài liệu nào giải thích dễ hiểu cho người không quen với ‘renderer’, ‘native API’ và ‘sandbox’ trong trình duyệt về bản chất lỗ hổng sandbox escape hay không.
    • Trước tiên, thao túng renderer process qua lỗi trong JavaScript engine hoặc tương tự là bước 1, và trong trạng thái đó renderer vẫn bị giam trong sandbox. Lỗi trong bài này là dành cho bước 2 (sandbox escape). Bản patch.diff được công bố là một bản vá để mô phỏng trạng thái renderer đã bị tấn công.
  • Link bình luận về reward là đây.
  • Có người ngạc nhiên trước số tiền đủ “đổi đời”, và nói tốt là mình có thể nhìn thấy mức thưởng như vậy.
    • Ở Đan Mạch, nơi mình sống, kể cả khi chưa tính thuế thì số tiền này cũng không đủ để mua một căn hộ cỡ một phòng.
    • Khi nhận tiền thưởng đầu tiên 240.000 USD, mình từng nghĩ đời sẽ thay đổi, nhưng 100.000 USD đã bị thuế lấy đi. Sau khi dành 20.000 USD mua xe, không còn quá nhiều thứ có thể làm. So với giá nhà ở LA/SF/NYC thì quá thiếu, và cũng không đủ để khởi nghiệp. Có thể sống như sinh viên 2-3 năm nếu quay về lối sống sinh viên, nhưng đã 34 tuổi rồi nên quay lại làm sinh viên không dễ. Cuối cùng không tạo ra thay đổi lớn, mặc dù rất biết ơn khi nhận được khoản tiền lớn, họ chia sẻ đây là trải nghiệm chưa làm cuộc sống thay đổi như mong đợi. Đã 25 năm rồi và kể cả bây giờ, 1 triệu USD (sau thuế 600.000 USD) vẫn chưa đủ để đảo ngược cuộc sống theo nghĩa đúng. Có thể chi trả trước nhà hoặc học phí cho con cái, nhưng kỳ vọng về sự tự do thì chưa từng cảm nhận được.
    • Ý kiến rằng ý nghĩa của số tiền phụ thuộc nơi bạn sinh sống. Trong các nước phát triển, khó mà nói 250.000 USD là tiền “đổi đời”; thường chỉ là khoản để tạm thời bớt đi áp lực. Sau thuế thì cũng chưa đủ để mua nhà.
  • Họ cảm thấy thật ấn tượng khi tìm lỗi trong dự án lớn như vậy, giống như việc tìm kim trong đống rơm.
    • Dự án càng to và phức tạp thì càng nhiều mã và lỗi, nên đôi khi còn dễ phát hiện vấn đề hơn dự án nhỏ. Nhưng với lỗi nghiêm trọng kiểu Sandbox Escape, nhờ chính sách thưởng cao của Google đã có rất nhiều người phân tích thủ công và tự động (kể cả fuzzers), nên đúng là cực kỳ khó tìm. Năm 2014, khi tình cờ phát hiện một lỗi trong Chrome (không phải đi tìm lỗi; chỉ đang viết mã JS rồi bất ngờ gặp vấn đề), báo cáo lại và Google đã trả 1.500 USD. Họ cũng kể mất khoảng 30 phút. Liên kết liên quan
    • Ngược lại, có người nghĩ dự án lớn càng dễ vì nhiều sự tương tác bất thường giữa các component. Thực ra mấu chốt là tập trung vào ranh giới bảo mật quan trọng (lần này là giao tiếp giữa renderer và broker) và đào sâu các edge case. Google trả tiền cho kiểu lỗi này nên khi tìm được sẽ có thưởng lớn. Tuy nhiên thật sự nhà nghiên cứu phải rất giỏi mới có thể tìm ra được.
  • Tốc độ trả thưởng cũng rất đáng chú ý. Chỉ khoảng 4 tuần là xuất hiện reward, trong khi nhiều công ty khác thường mất vài tháng chỉ để công nhận một báo cáo lỗi.
  • Nếu giả định DOJ sẽ ép buộc tách Chrome và xuất hiện chủ sở hữu mới, có người hoài nghi mức bug bounty này có thể duy trì được hay không.