A reviravolta é um jogo justo, pois a Microsoft encontra uma exploração no Chrome e critica os patches do Google
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
A equipe de segurança do Project Zero do Google foi mantendo a Microsoft ocupada encontrando exploits no Windows e no Edgee, e de vez em quando anunciando-os publicamente antes que a Microsoft tenha patches disponíveis.
A empresa também criticou a Microsoft por corrigir o Windows 10 antes do Windows 7 e sistemas operacionais anteriores, revelando assim aos hackers quais vulnerabilidades ainda estão presentes nas versões mais antigas do sistema operacional.
No mês passado, foi a vez do Google lutar, pois a equipe Offensive Security Research (OSR) da Microsoft encontrou um bug no navegador Chrome do Google que permitia a execução remota de código e, como parte do processo, a Microsoft também reclamou que o método de correção do Google também poderia revelar os comprometimentos. antes das correções serem lançadas.
Em relação ao bug, que foi descoberto usando um fuzzer (ferramenta favorita do Google), o OSR relata:
- Nossa descoberta do CVE-2017-5121 indica que é possível encontrar vulnerabilidades exploráveis remotamente em navegadores modernos
- A relativa falta de mitigações de RCE do Chrome significa que o caminho do bug de corrupção de memória para a exploração pode ser curto
- Várias verificações de segurança feitas dentro da sandbox resultam em explorações de RCE que podem, entre outras coisas, contornar a Same Origin Policy (SOP), dando aos invasores com capacidade de RCE acesso aos serviços online das vítimas (como e-mail, documentos e sessões bancárias) e credenciais salvas
- O processo do Chrome para atender a vulnerabilidades pode resultar na divulgação pública de detalhes de falhas de segurança antes que as correções sejam enviadas aos clientes
O Google reconheceu o bug e pagou à Microsoft uma recompensa de US$ 15,000 (que a Microsoft doou para caridade), mas sua abordagem para corrigir o bug também alertou a Microsoft. O Google lançou uma correção para o repositório V8 GitHub três dias antes de lançar uma correção para o navegador e o projeto Chromium, dando aos hackers rápidos 3 dias para fazer engenharia reversa e explorar as centenas de milhões de usuários do Chrome.
Dada a relação amarga entre as equipes de segurança do Google e da Microsoft, espero que essa não seja a primeira troca desse tipo nos próximos meses, mas espero que o resultado seja navegadores e sistemas operacionais mais seguros para todos nós.
Fonte: Technetvia BleepingComputer