Cambiare direzione è corretto poiché Microsoft trova un exploit su Chrome e critica le patch di Google

Casa » Google

Icona del tempo di lettura 2 minuto. leggere

Icona del calendario Edizione del

by Surur Davids 

pubblicato su

Condividi questo articolo

I lettori aiutano a supportare MSpoweruser. Potremmo ricevere una commissione se acquisti tramite i nostri link. Icona descrizione comando

Leggi la nostra pagina informativa per scoprire come puoi aiutare MSPoweruser a sostenere il team editoriale Per saperne di più

Il team di sicurezza di Project Zero di Google lo è stato tenendo Microsoft impegnata a trovare exploit in Windows ed Edge, e occasionalmente annunciandoli pubblicamente prima che Microsoft disponga di patch.

La compagnia ha anche ha criticato Microsoft per aver patchato Windows 10 prima di Windows 7 e sistemi operativi precedenti, rivelando così agli hacker quali vulnerabilità sono ancora presenti nelle versioni precedenti del sistema operativo.

Il mese scorso è stato il turno di Google di scramble, poiché il team Offensive Security Research (OSR) di Microsoft ha trovato un bug nel browser Chrome di Google che consentiva l'esecuzione di codice in modalità remota e, come parte del processo, Microsoft si è anche lamentata del fatto che il metodo di patching di Google potrebbe anche rivelare i compromessi prima che le correzioni siano state implementate.

Per quanto riguarda il bug, scoperto utilizzando un fuzzer (lo strumento preferito di Google), l'OSR riporta:

  • La nostra scoperta di CVE-2017-5121 indica che è possibile trovare vulnerabilità sfruttabili da remoto nei browser moderni
  • La relativa mancanza di mitigazioni RCE di Chrome significa che il percorso dal bug di danneggiamento della memoria all'exploit può essere breve
  • Diversi controlli di sicurezza eseguiti all'interno della sandbox fanno sì che gli exploit RCE siano in grado, tra le altre cose, di aggirare la Same Origin Policy (SOP), offrendo agli aggressori abilitati RCE l'accesso ai servizi online delle vittime (come e-mail, documenti e sessioni bancarie) e credenziali salvate
  • Il processo di Chrome per la correzione delle vulnerabilità può comportare la divulgazione pubblica dei dettagli relativi ai difetti di sicurezza prima che le correzioni vengano inviate ai clienti

Google ha riconosciuto il bug e ha pagato a Microsoft una taglia di $ 15,000 (che Microsoft ha donato in beneficenza), ma il loro approccio alla correzione del bug ha anche sollevato allarme a Microsoft. Google ha apportato una correzione al repository GitHub V8 tre giorni prima di distribuire una correzione al browser e al progetto Chromium, dando agli hacker veloci 3 giorni per decodificare e sfruttare centinaia di milioni di utenti di Chrome.

Data la relazione aspra tra Google e i team di sicurezza di Microsoft, mi aspetto che questo non sarà il primo scambio di questo tipo nei prossimi mesi, ma si spera che il risultato sarà browser e sistemi operativi più sicuri per tutti noi.

Fonte: TechnetVia BleepingComputer

Maggiori informazioni sugli argomenti: cromo, google, microsoft, problemi di

Surur Davids

Surur Davids Scudo

Esperto di smartphone

Surur Davids è il fondatore di WMPoweruser che in seguito divenne MSPoweruser.com. È un esperto di smartphone con oltre un decennio di esperienza.

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *