Kääntyminen on reilua peliä, kun Microsoft löytää Chromen hyväksikäyttöä ja kritisoi Googlen korjauksia

Koti » Google

Lukuajan kuvake 2 min. lukea

Kalenterikuvake Julkaistu

by Surur Davids 

Julkaistu

Jaa tämä artikkeli

Lukijat auttavat tukemaan MSpoweruseria. Saatamme saada palkkion, jos ostat linkkien kautta. Työkaluvihje-kuvake

Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää

Googlen Project Zero -tietoturvatiimi on ollut pitää Microsoft kiireisenä löytää hyväksikäyttöä Windowsissa ja Edgissäe, ja silloin tällöin ilmoittamalla niistä julkisesti ennen kuin Microsoftilla on korjaustiedostoja saatavilla.

Yhtiöllä on myös kritisoi Microsoftia Windows 10:n korjaamisesta ennen Windows 7:ää ja aiemmissa käyttöjärjestelmissä, mikä paljastaa hakkereille, mitä haavoittuvuuksia käyttöjärjestelmän vanhemmissa versioissa vielä on.

Viime kuussa oli Googlen vuoro ryyppäämään, sillä Microsoftin OSR-tiimi löysi Googlen Chrome-selaimesta virheen, joka mahdollisti koodin etäsuorittamisen, ja osana prosessia Microsoft valitti myös, että Googlen korjausmenetelmä voisi paljastaa myös kompromissit. ennen kuin korjaukset on otettu käyttöön.

OSR raportoi virheestä, joka löydettiin fuzzerilla (Googlen suosikkityökalulla):

  • Löytömme CVE-2017-5121 osoittaa, että nykyaikaisista selaimista on mahdollista löytää etäkäyttöön soveltuvia haavoittuvuuksia
  • Chromen suhteellinen RCE-vähennysten puute tarkoittaa, että polku muistin vioittumisvirheestä hyödyntämiseen voi olla lyhyt.
  • Useat hiekkalaatikon sisällä tehtävät turvatarkastukset johtavat siihen, että RCE-hyökkäykset voivat muun muassa ohittaa Same Origin Policy (SOP) ja antaa RCE-kykyisille hyökkääjille pääsyn uhrien verkkopalveluihin (kuten sähköpostiin, asiakirjoihin ja pankkiistuntoihin). ja tallennetut tunnistetiedot
  • Chromen haavoittuvuuksien huoltoprosessi voi johtaa tietoturvavirheiden yksityiskohtien julkistamiseen ennen kuin korjaukset toimitetaan asiakkaille

Google myönsi virheen ja maksoi Microsoftille 15,000 8 dollarin bugipalkkion (jonka Microsoft lahjoitti hyväntekeväisyyteen), mutta heidän lähestymistapansa korjata virhe herätti myös hälytyksen Microsoftissa. Google julkaisi korjauksen V3 GitHub -tietovarastoon kolme päivää ennen kuin se julkaisi korjauksen selaimeen ja Chromium-projektiin, mikä antoi nopeille hakkereille kolme päivää aikaa suunnitella ja hyödyntää satoja miljoonia Chromen käyttäjiä.

Ottaen huomioon Googlen ja Microsoftin tietoturvatiimien kiistan suhteen, odotan, että tämä ei ole ensimmäinen tällainen vaihto seuraavien kuukausien aikana, mutta toivottavasti tuloksena on turvallisemmat selaimet ja käyttöjärjestelmät meille kaikille.

Lähde: TechnetKautta BleepingComputer

Lisää aiheista: kromi, Google, microsoft, turvallisuus

Surur Davids

Surur Davids Shield

Älypuhelimen asiantuntija

Surur Davids on WMPoweruser-sivuston perustaja, josta myöhemmin tuli MSPoweruser.com. Hän on älypuhelinasiantuntija, jolla on yli vuosikymmenen kokemus.

Jätä vastaus

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *