Turn around er fair play, da Microsoft finder udnyttelse på Chrome, kritiserer Googles patching

Home » Google

Ikon for læsetid 2 min. Læs

Kalenderikon Udgivet den

by Surur Davids 

offentliggjort den

Del denne artikel

Læsere hjælper med at understøtte MSpoweruser. Vi får muligvis en kommission, hvis du køber via vores links. Værktøjstip-ikon

Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere

Googles Project Zero-sikkerhedsteam har været holde Microsoft travlt med at finde exploits i Windows og Edge, og ved lejlighed annoncerer dem offentligt, før Microsoft har tilgængelige patches.

Virksomheden har også kritiserede Microsoft for at patche Windows 10 før Windows 7 og tidligere operativsystemer, og afslører derved for hackere, hvilke sårbarheder der stadig er til stede i de ældre versioner af operativsystemet.

Sidste måned var det Googles tur til at forvirre, da Microsofts Offensive Security Research-team (OSR) fandt en fejl i Googles Chrome-browser, som tillod fjernudførelse af kode, og som en del af processen klagede Microsoft også over, at Googles metode til patchning også kunne afsløre kompromiserne før rettelserne er rullet ud.

Med hensyn til fejlen, som blev opdaget ved hjælp af en fuzzer (Googles foretrukne værktøj), rapporterer OSR:

  • Vores opdagelse af CVE-2017-5121 indikerer, at det er muligt at finde fjernudnyttelige sårbarheder i moderne browsere
  • Chromes relative mangel på RCE-reduktioner betyder, at vejen fra hukommelseskorruptionsfejl til udnyttelse kan være kort
  • Adskillige sikkerhedstjek, der udføres i sandkassen, resulterer i, at RCE-udnyttelse blandt andet kan omgå Same Origin Policy (SOP), hvilket giver RCE-kompatible angribere adgang til ofrenes onlinetjenester (såsom e-mail, dokumenter og banksessioner) og gemte legitimationsoplysninger
  • Chromes proces til servicering af sårbarheder kan resultere i offentlig offentliggørelse af detaljer for sikkerhedsfejl, før rettelser sendes til kunder

Google anerkendte fejlen og betalte Microsoft en fejlbeløb på 15,000 USD (som Microsoft donerede til velgørenhed), men deres tilgang til at rette fejlen vakte også alarm hos Microsoft. Google udsendte en rettelse til V8 GitHub-lageret tre dage, før den udsendte en rettelse til browseren og Chromium-projektet, hvilket gav hurtige hackere 3 dage til at reverse engineering og udnytte de hundredvis af millioner af Chrome-brugere.

I betragtning af det hårde forhold mellem Google og Microsofts sikkerhedsteam forventer jeg, at dette ikke vil være den første sådan udveksling i løbet af de næste par måneder, men forhåbentlig vil resultatet være sikrere browsere og operativsystemer for os alle.

Kilde: Technetvia BleepingComputer

Mere om emnerne: Chrome, Google, microsoft, sikkerhed

Surur Davids

Surur Davids Shield

Smartphone ekspert

Surur Davids er grundlæggeren af ​​WMPoweruser, som senere blev til MSPoweruser.com. Han er en smartphone-ekspert med mere end ti års erfaring.

Giv en kommentar

Din e-mail adresse vil ikke blive offentliggjort. Krævede felter er markeret *