MicrosoftがChromeのエクスプロイトを発見し、Googleのパッチ適用を批判する中、方向転換はフェアプレーだ

GoogleのProjectZeroセキュリティチームは WindowsとEdgでエクスプロイトを見つけるのにMicrosoftを忙しくしているe、そして時々 マイクロソフトがパッチを利用できるようになる前に、それらを公に発表する.

同社はまた、 Windows10の前にWindows7にパッチを当てたとしてMicrosoftを批判した および以前のオペレーティングシステム。これにより、古いバージョンのオペレーティングシステムにまだ存在する脆弱性をハッカーに明らかにします。

先月、MicrosoftのOffensive Security Research（OSR）チームがリモートコード実行を可能にするGoogleのChromeブラウザのバグを発見したため、Googleはスクランブルを開始しました。また、プロセスの一環として、Microsoftは、Googleのパッチ適用方法によっても侵害が明らかになる可能性があると不満を述べました。修正が公開される前。

ファザー（Googleのお気に入りのツール）を使用して発見されたバグに関して、OSRは次のように報告しています。

• CVE-2017-5121の発見は、最新のブラウザでリモートで悪用可能な脆弱性を見つけることが可能であることを示しています
• ChromeのRCE緩和策が比較的不足しているということは、メモリ破損のバグからエクスプロイトへのパスが短い可能性があることを意味します
• サンドボックス内でいくつかのセキュリティチェックが行われると、RCEエクスプロイトは、とりわけ、同一生成元ポリシー（SOP）をバイパスして、RCE対応の攻撃者が被害者のオンラインサービス（電子メール、ドキュメント、バンキングセッションなど）にアクセスできるようになります。と保存された資格情報
• 脆弱性を処理するためのChromeのプロセスにより、修正が顧客にプッシュされる前に、セキュリティ上の欠陥の詳細が公開される可能性があります

グーグルはバグを認め、マイクロソフトに15,000ドルのバグ報奨金（マイクロソフトが慈善団体に寄付した）を支払ったが、バグにパッチを当てる彼らのアプローチもマイクロソフトに警鐘を鳴らした。 Googleは、ブラウザとChromiumプロジェクトに修正をプッシュする8日前に、V3 GitHubリポジトリに修正をプッシュしました。これにより、高速ハッカーはXNUMX日間、リバースエンジニアリングを行い、数億人のChromeユーザーを悪用することができます。

グーグルとマイクロソフトのセキュリティチームの間の厳しい関係を考えると、これは今後数ヶ月で最初のそのような交換ではないと思いますが、うまくいけば、結果は私たち全員にとってより安全なブラウザとオペレーティングシステムになるでしょう。

情報源： Technetのビア 逃げるコンピュータ