Компания Google объявила во вторник, что денежный приз, присужденный за
победу в конкурсе,
призванном улучшить безопасность технологии Google Native Client, разделили
между собой два исследователя.
Несмотря на то, что эксперты обнаружили в коде десятки багов, один из
победителей соревнования, Марк Дауд, выразил уверенность в том, что финальная
версия программной платформы будет безопасной.
Дауд, который трудится в IBM Internet Security Systems, и его партнер Бен
Хоукс из Новой Зеландии обнаружили наибольшее число багов, в число которых
входили и самые серьезные уязвимости среди всех 22 дыр, найденных участниками
соревнования. Обнаруженные победителями критические ошибки могли позволить
атакующему полностью отключить внутреннюю виртуализацию.
Отметим, что технология Google Native Client, дебютировавшая в декабре
прошлого года в качестве исследовательского проекта, в прошлом месяце была
представлена как платформа для разработки, позволяющая компьютерам обрабатывать
загруженные из Сети приложения напрямую на самом процессоре с той же скоростью,
что и установленные на ПК локальные программы.
Существующие сегодня программные среды для создания веб-приложений, такие как
Flash, JavaScript и ActiveX, имеют ограничения по использованию вычислительных
возможностей процессора и добавляют свои собственные баги и уязвимости.
Разрабатывая Native Client, компания Google пытается обеспечить оптимальный
баланс между производительностью и безопасностью, предлагая сравнительно новый
подход, известный как статический анализ. Он заключается в том, что все
приложения перед исполнением проверяются на предмет отсутствия рискованных и
небезопасных операций.
В Google надеются, что Native Client будет интегрирован в предназначенную для
разработчиков версию браузера Chrome еще до конца этого года, что позволит
получить доступ к разработке более широкому сообществу профессионалов.
