Google heeft een opensource-beveiligingstool ontwikkeld waarmee het 31 beveiligingslekken in Chrome, Edge, Firefox, Internet Explorer en Safari heeft gevonden. De tool, Domato genaamd, richt zich op het Document Object Model (DOM) van de browser. Het DOM is een programmeerinterface voor html- en xml-documenten. Het definieert de logische structuur van documenten en de manier waarop een document wordt benaderd en gemanipuleerd.
De DOM-engines in browsers zijn volgens Ivan Fratric van Google een voorname bron van beveiligingslekken. Veel van deze kwetsbaarheden zijn eenvoudig te vinden via een fuzzer, aldus Fratric. Fuzzing is een populaire manier voor het vinden van bugs en kwetsbaarheden in software. Hierbij wordt een programma of een stuk software met allerlei datastromen bestookt, wat vervolgens tot crashes of fouten kan leiden. Die crashes kunnen vervolgens op onbekende beveiligingslekken wijzen.
Fratric ontwikkelde Domato om de DOM-engines van Chrome, Edge, Firefox, Internet Explorer en Safari te testen. Dit leverde in totaal 31 unieke kwetsbaarheden op, waarvan 17 in Safari. Via de kwetsbaarheden zou een aanvaller in het ergste geval willekeurige code op het systeem kunnen uitvoeren, bijvoorbeeld als er een kwaadaardige of gehackte website zou worden bezocht.
Volgens Fratric is het aantal kwetsbaarheden in Safari, in vergelijking met de andere browsers, zorgwekkend. Zeker gezien de interesse van aanvallers in het platform, zoals blijkt uit de beloningen voor zeroday-exploits en recente gerichte aanvallen op iOS. De kwetsbaarheden die via Domato zijn gevonden zijn inmiddels allemaal gepatcht. Daarnaast heeft Google de fuzzer via GitHub open source gemaakt, zodat browserontwikkelaars en onderzoekers ermee aan de slag kunnen gaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.