Obrat je fair play, protože Microsoft zjistil zneužití Chrome, kritizujte opravy Google

Domů » Google

Ikona času čtení 2 min. číst

Ikona kalendáře Publikované dne

by Surur Davids 

publikováno dne

Sdílejte tento článek

Čtenáři pomáhají podporovat MSpoweruser. Pokud nakoupíte prostřednictvím našich odkazů, můžeme získat provizi. Ikona popisku

Přečtěte si naši informační stránku a zjistěte, jak můžete pomoci MSPoweruser udržet redakční tým Dozvědět se více

Bezpečnostní tým Project Zero společnosti Google byl Microsoft je zaneprázdněn hledáním exploitů ve Windows a Edge, a příležitostně jejich veřejné oznámení dříve, než bude mít Microsoft k dispozici opravy.

Společnost má také kritizoval Microsoft za záplatování Windows 10 před Windows 7 a dřívějších operačních systémech, čímž hackerům odhalí, které zranitelnosti jsou stále přítomné ve starších verzích operačního systému.

Minulý měsíc byl na řadě Google, aby se zapletl, protože tým Microsoft Offensive Security Research (OSR) našel chybu v prohlížeči Chrome od Googlu, která umožňovala vzdálené spuštění kódu, a jako součást procesu si Microsoft také stěžoval, že způsob opravy Google může také odhalit kompromisy. před vydáním oprav.

Ohledně chyby, která byla objevena pomocí fuzzeru (oblíbený nástroj Google), OSR hlásí:

  • Náš objev CVE-2017-5121 naznačuje, že v moderních prohlížečích je možné najít vzdáleně zneužitelná zranitelnost
  • Relativní nedostatek zmírnění RCE v prohlížeči Chrome znamená, že cesta od chyby poškození paměti k zneužití může být krátká
  • Několik bezpečnostních kontrol prováděných v karanténě vede k tomu, že exploity RCE mohou mimo jiné obejít zásady stejného původu (SOP) a poskytnout útočníkům s podporou RCE přístup k online službám obětí (jako jsou e-maily, dokumenty a bankovní relace). a uložené přihlašovací údaje
  • Proces Chrome pro servis zranitelných míst může vést k veřejnému zveřejnění podrobností o bezpečnostních nedostatcích, než budou opravy zaslány zákazníkům.

Google chybu uznal a vyplatil Microsoftu odměnu za chyby ve výši 15,000 8 $ (kterou Microsoft věnoval na charitu), ale jejich přístup k opravě chyby také vyvolal u Microsoftu poplach. Google vydal opravu úložiště V3 GitHub tři dny před tím, než vydal opravu prohlížeče a projektu Chromium, což rychlým hackerům poskytlo XNUMX dny na reverzní inženýrství a zneužití stovek milionů uživatelů Chrome.

Vzhledem k ostrému vztahu mezi Googlem a bezpečnostními týmy Microsoftu očekávám, že to nebude první taková výměna během několika příštích měsíců, ale doufejme, že výsledkem budou bezpečnější prohlížeče a operační systémy pro nás všechny.

Zdroj: TechnetPřes BleepingComputer

Více o tématech: chróm, Google, microsoft, zabezpečení

Surur Davids

Surur Davids Štít

Expert na chytré telefony

Surur Davids je zakladatelem WMPoweruser, který se později stal MSPoweruser.com. Je to odborník na chytré telefony s více než desetiletými zkušenostmi.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Povinné položky jsou označeny *