Специалисты из команды Google Project Zero создали утилиту Domato для проверки DOM-движков и проверили ее возможности на пяти наиболее популярных на сегодняшний день браузерах: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Microsoft Edge и Apple Safari. По результатам проверки наибольшее число уязвимостей было выявлено в Safari.
Domato представляет собой фаззинг-инструмент для проверки безопасности, передающий приложению случайный набор данных и анализирующий результаты на предмет аномалий. По словам разработчика Domato Айвана Фратрика (Ivan Fratric), основное назначение утилиты заключается в тестировании DOM-движков – компонентов браузера, которые читают HTML-код и организуют его в DOM (Document Object Model, объектная модель документа), которая затем "отрисовывается" и выводится в окне браузера в виде изображения, которое пользователи видят на своих экранах.
По словам Фратрика, производители очень редко выпускают обновления, в которых не содержатся исправления критических проблем в DOM-движках, что наглядно показывает масштаб проблемы. Именно поэтому разработчик решил сосредоточиться на уязвимостях в DOM-движках. Он также заявил, что после отказа от технологии Flash в 2020 году, DOM-движки станут одним из основных объектов атак злоумышленников.
Для проверки возможностей Domato Фратрик выбрал популярные браузеры Chrome, Firefox, Internet Explorer, Edge и Safari и провел порядка 100 млн тестов. Согласно результатам тестирования, наибольшее число уязвимостей было выявлено в Safari (17 проблем), на втором месте оказался Edge (6), далее следуют IE и Firefox (4 уязвимости каждый) и на последнем месте расположился Chrome с 2 новыми уязвимостями.
Google проинформировала производителей браузеров о выявленных проблемах и предоставила им копии Domato. Исходный код инструмента опубликован на GitHub.
DOM (Document Object Model, объектная модель документа) - не зависящий от платформы и языка программный интерфейс, позволяющий программам и скриптам получить доступ к содержимому HTML-, XHTML- и XML-документов, а также изменять содержимое, структуру и оформление таких документов.
