Google определила самый небезопасный веб-браузер

Команда Google Project Zero создала утилиту Domato для тестирования DOM-движков. По результатам тестов пяти самых популярных веб-браузеров выяснилось, что Safari содержит наибольшее число багов в системе безопасности.
Domato

Domato представляет собой обычный фаззинг-инструмент для тестирования безопасности, передающий исследуемому приложению случайный набор данных и анализирующий аномалии выходных данных.

Domato тестирует DOM-движки — компоненты браузера, которые читают HTML-код и организуют его в DOM, которая затем отрисовывается и выводится в окне браузера в виде изображения, которое пользователи и видят на своих экранах.

Google: безопасность DOM-движков должна быть главным приоритетом

По заверениям инженера Google Ивана Фратрича, создателя Domato, производители веб-браузеров очень редко выпускают обновления, содержащие критические исправления проблем безопаности DOM, несмотря на существование таковых. Он также заявляет, что после полного отказа от технологии Flash в 2020 году,злоумышленники сфокусируются на атаках DOM-движков.

17 ошибок безопасности в Safari

Для проверки возможностей Domato были выбраны пять самых популярных на сегодня браузеров: Chrome, Firefox, Internet Explorer, Edge и Safari, и проведены порядка ста миллионов тестов.

Результаты показали, что Safari обладает самым худшим DOM-движком с 17 ошибками системы безопасности. На втором месте с конца расположился Edge c 6 проблемами, IE и Firefox имеют всего по 4 недочёта, а победителем стал Chrome, имея в своём пассиве 2 проблемы.

Google заявила, что обратилась к разработчикам каждого из браузеров и сообщила о найденных ошибках, а также предоставила им копии Domato, чтобы каждый из них мог самостоятельно выполнить более обширные тесты своих продуктов. Иван Фратрич также сделал исходный код Domato открытым для всех, выложив его на GitHub. Он также надеется, что сторонние программисты адаптируют его продукт для работы с другими приложениями, а не только с DOM-движками веб-браузеров.

Источник: Bleeping Computer