Η στροφή είναι δίκαιο παιχνίδι καθώς η Microsoft βρίσκει εκμετάλλευση στο Chrome, επικρίνει την ενημέρωση κώδικα της Google

Αρχική » Google

Εικονίδιο ώρας ανάγνωσης 2 λεπτό. ανάγνωση

Εικονίδιο ημερολογίου Δημοσιεύθηκε στις

by Σουρούρ Ντέιβιντς 

Δημοσιεύθηκε στις

Μοιραστείτε αυτό το άρθρο

Οι αναγνώστες βοηθούν στην υποστήριξη του MSpoweruser. Ενδέχεται να λάβουμε προμήθεια εάν αγοράσετε μέσω των συνδέσμων μας. Εικονίδιο επεξήγησης εργαλείου

Διαβάστε τη σελίδα αποκάλυψης για να μάθετε πώς μπορείτε να βοηθήσετε το MSPoweruser να διατηρήσει τη συντακτική ομάδα Διάβασε περισσότερα

Η ομάδα ασφαλείας Project Zero της Google ήταν κρατώντας τη Microsoft απασχολημένη με την εύρεση εκμεταλλεύσεων στα Windows και στο Edgε, και κατά περίπτωση ανακοινώνοντάς τα δημόσια πριν η Microsoft έχει διαθέσιμες ενημερώσεις κώδικα.

Η εταιρεία έχει επίσης επέκρινε τη Microsoft για την επιδιόρθωση των Windows 10 πριν από τα Windows 7 και παλαιότερα λειτουργικά συστήματα, αποκαλύπτοντας έτσι στους χάκερ ποιες ευπάθειες εξακολουθούν να υπάρχουν στις παλαιότερες εκδόσεις του λειτουργικού συστήματος.

Τον περασμένο μήνα ήταν η σειρά της Google να ανακατευτεί, καθώς η ομάδα της Microsoft Offensive Security Research (OSR) βρήκε ένα σφάλμα στο πρόγραμμα περιήγησης Chrome της Google που επέτρεπε την απομακρυσμένη εκτέλεση κώδικα και ως μέρος της διαδικασίας η Microsoft παραπονέθηκε επίσης ότι η μέθοδος ενημέρωσης κώδικα της Google θα μπορούσε επίσης να αποκαλύψει τους συμβιβασμούς πριν κυκλοφορήσουν οι διορθώσεις.

Όσον αφορά το σφάλμα, το οποίο ανακαλύφθηκε χρησιμοποιώντας ένα fuzzer (το αγαπημένο εργαλείο της Google), το OSR αναφέρει:

  • Η ανακάλυψη του CVE-2017-5121 δείχνει ότι είναι δυνατό να βρεθούν απομακρυσμένα εκμεταλλεύσιμα τρωτά σημεία σε σύγχρονα προγράμματα περιήγησης
  • Η σχετική έλλειψη μετριασμού RCE του Chrome σημαίνει ότι η διαδρομή από το σφάλμα καταστροφής της μνήμης στην εκμετάλλευση μπορεί να είναι σύντομη
  • Διάφοροι έλεγχοι ασφαλείας που γίνονται εντός του sandbox έχουν ως αποτέλεσμα οι εκμεταλλεύσεις RCE να μπορούν, μεταξύ άλλων, να παρακάμψουν την ίδια πολιτική προέλευσης (SOP), δίνοντας στους εισβολείς με δυνατότητα RCE πρόσβαση στις διαδικτυακές υπηρεσίες των θυμάτων (όπως email, έγγραφα και τραπεζικές συνεδρίες). και αποθηκευμένα διαπιστευτήρια
  • Η διαδικασία του Chrome για την εξυπηρέτηση των τρωτών σημείων μπορεί να οδηγήσει στη δημόσια αποκάλυψη λεπτομερειών για ελαττώματα ασφαλείας πριν προωθηθούν οι διορθώσεις στους πελάτες

Η Google αναγνώρισε το σφάλμα και πλήρωσε στη Microsoft μια επιβράβευση 15,000 δολαρίων (την οποία η Microsoft δώρισε σε φιλανθρωπικούς σκοπούς), αλλά η προσέγγισή της για την επιδιόρθωση του σφάλματος προκάλεσε επίσης ανησυχία στη Microsoft. Η Google δημοσίευσε μια επιδιόρθωση στο αποθετήριο V8 GitHub τρεις ημέρες πριν προωθήσει μια επιδιόρθωση για το πρόγραμμα περιήγησης και το έργο Chromium, δίνοντας στους γρήγορους χάκερ 3 ημέρες για να αναθεωρήσουν και να εκμεταλλευτούν τα εκατοντάδες εκατομμύρια χρήστες του Chrome.

Δεδομένης της σκληρής σχέσης μεταξύ της Google και των ομάδων ασφαλείας της Microsoft, αναμένω ότι αυτή δεν θα είναι η πρώτη τέτοια ανταλλαγή τους επόμενους μήνες, αλλά ελπίζω ότι το αποτέλεσμα θα είναι ασφαλέστερα προγράμματα περιήγησης και λειτουργικά συστήματα για όλους μας.

πηγή: TechnetΜέσω BleepingComputer

Περισσότερα για τα θέματα: χρώμιο, google, microsoft, ασφάλεια

Σουρούρ Ντέιβιντς

Σουρούρ Ντέιβιντς Ασπίδα

Εμπειρογνώμονας smartphone

Ο Surur Davids είναι ο ιδρυτής του WMPoweruser που αργότερα έγινε MSPoweruser.com. Είναι ειδικός στα smartphone με πάνω από μια δεκαετία εμπειρίας.

Αφήστε μια απάντηση

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται *