微软启动针对Chromium的零日漏洞计划

在2020年1月份宣布使用开源代码库重建Edge浏览器之后，微软近日宣布启动了针对Chromium的类似Google Project Zero风格的零日漏洞安全研究计划。一组浏览器安全专家将对Google的浏览器开发库进行深入研究。

微软的工程主管，首席安全官Johnathan Norman在一篇博客文章中指出：“在接下来的几个月中，我们将详细介绍迄今为止发现的一些漏洞，我们如何利用它们，我们用来识别这些问题的方法以及从尝试保护复杂代码库中获得的教训。”

“尽管我们不局限于任何特定安全主题，但我们计划共享有关漏洞利用的代码和文字，发现错误的工具，并分享一些有关我们如何保护Edge的见解。”

Norman表示，该研究项目将负责任的披露指南发布“将主要针对Edge和其他基于Chromium的浏览器，但偶尔也会包括其他目标”。

微软的研究项目有些类似于2005年趋势科技的“零日倡议”和2014年启动的Google的“Project Zero”项目，公开披露安全漏洞来推动安全社区的成长。

Norman透露，自迁移到Chromium以来，微软“已向Chromium项目报告了数百个安全漏洞，提供了修复程序，并与Chromium团队合作改善了Windows上的沙箱”。在这项研究的支持下，与传统Edge相比，基于Chromium的Edge的外部研究人员报告的漏洞少了200％，并且“在2020年Pwn2Own竞赛中保持金身不破”。

显然，众多使用Chromium代码库的浏览器产品也都将受益于该零日项目的分享。

零日倡议（Zero Day Initiative）的传播经理达斯汀·柴尔德斯（Dustin Childs）对微软这一举措表示欢迎。他表示：“将几乎所有的Web浏览器鸡蛋都放在一个基于Chromium的篮子中，无疑为攻击者提供了多样化的目标。因此，能够查找漏洞的研究人员越多越好。”

Chromium包含2500万行代码，是世界上最大，最复杂的开源项目之一，同时也是目前全球最主流的浏览器代码库。凭借7.5％的市场份额，基于Chromium重新打造的Edge已经是Chrome和Firefox之后，第三大流行浏览器。

其他基于Chromium代码库的浏览器产品还有很多，例如Opera、Vivaldi、Brave和Blisk。