A reviravolta é um jogo justo, pois a Microsoft encontra uma exploração no Chrome e critica os patches do Google

Início » Google

Ícone de tempo de leitura 2 minutos. ler

Ícone do calendário Publicado em

by Surur Davids 

publicado em

Compartilhe este artigo

Os leitores ajudam a oferecer suporte ao MSpoweruser. Podemos receber uma comissão se você comprar através de nossos links. Ícone de dica de ferramenta

Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais

A equipe de segurança do Project Zero do Google foi mantendo a Microsoft ocupada encontrando exploits no Windows e no Edgee, e de vez em quando anunciando-os publicamente antes que a Microsoft tenha patches disponíveis.

A empresa também criticou a Microsoft por corrigir o Windows 10 antes do Windows 7 e sistemas operacionais anteriores, revelando assim aos hackers quais vulnerabilidades ainda estão presentes nas versões mais antigas do sistema operacional.

No mês passado, foi a vez do Google lutar, pois a equipe Offensive Security Research (OSR) da Microsoft encontrou um bug no navegador Chrome do Google que permitia a execução remota de código e, como parte do processo, a Microsoft também reclamou que o método de correção do Google também poderia revelar os comprometimentos. antes das correções serem lançadas.

Em relação ao bug, que foi descoberto usando um fuzzer (ferramenta favorita do Google), o OSR relata:

  • Nossa descoberta do CVE-2017-5121 indica que é possível encontrar vulnerabilidades exploráveis ​​remotamente em navegadores modernos
  • A relativa falta de mitigações de RCE do Chrome significa que o caminho do bug de corrupção de memória para a exploração pode ser curto
  • Várias verificações de segurança feitas dentro da sandbox resultam em explorações de RCE que podem, entre outras coisas, contornar a Same Origin Policy (SOP), dando aos invasores com capacidade de RCE acesso aos serviços online das vítimas (como e-mail, documentos e sessões bancárias) e credenciais salvas
  • O processo do Chrome para atender a vulnerabilidades pode resultar na divulgação pública de detalhes de falhas de segurança antes que as correções sejam enviadas aos clientes

O Google reconheceu o bug e pagou à Microsoft uma recompensa de US$ 15,000 (que a Microsoft doou para caridade), mas sua abordagem para corrigir o bug também alertou a Microsoft. O Google lançou uma correção para o repositório V8 GitHub três dias antes de lançar uma correção para o navegador e o projeto Chromium, dando aos hackers rápidos 3 dias para fazer engenharia reversa e explorar as centenas de milhões de usuários do Chrome.

Dada a relação amarga entre as equipes de segurança do Google e da Microsoft, espero que essa não seja a primeira troca desse tipo nos próximos meses, mas espero que o resultado seja navegadores e sistemas operacionais mais seguros para todos nós.

Fonte: Technetvia BleepingComputer

Mais sobre os tópicos: cromo, google, microsoft, segurança

Surur Davids

Surur Davids Proteger

Especialista em smartphones

Surur Davids é o fundador do WMPoweruser, que mais tarde se tornou MSPoweruser.com. Ele é um especialista em smartphones com mais de uma década de experiência.

Deixe um comentário

O seu endereço de e-mail não será publicado. Os campos obrigatórios são marcados com *