Întoarcerea este fair play, deoarece Microsoft găsește exploatare pe Chrome, critică corecțiile Google

Acasă » Google

Pictograma timp de citire 2 min. citit

Pictogramă calendar Publicat în data de

by Surur Davids 

publicat pe

Distribuiți acest articol

Cititorii ajută la sprijinirea MSpoweruser. Este posibil să primim un comision dacă cumpărați prin link-urile noastre. Pictograma Tooltip

Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe

Echipa de securitate Google Project Zero a fost menținând Microsoft ocupat să găsească exploit-uri în Windows și Edge, iar ocazional anunțându-le public înainte ca Microsoft să aibă patch-uri disponibile.

Compania are, de asemenea a criticat Microsoft pentru că a corectat Windows 10 înainte de Windows 7 și sistemele de operare anterioare, dezvăluind astfel hackerilor care vulnerabilități sunt încă prezente în versiunile mai vechi ale sistemului de operare.

Luna trecută a fost rândul lui Google să se amestece, deoarece echipa Microsoft Offensive Security Research (OSR) a găsit o eroare în browserul Google Chrome care a permis executarea de cod de la distanță și, ca parte a procesului, Microsoft s-a plâns, de asemenea, că metoda de corecție a Google ar putea dezvălui și compromisurile. înainte ca remediile să fie lansate.

În ceea ce privește bug-ul, care a fost descoperit folosind un fuzzer (instrumentul preferat de la Google), OSR raportează:

  • Descoperirea noastră a CVE-2017-5121 indică faptul că este posibil să găsim vulnerabilități exploatabile de la distanță în browserele moderne.
  • Lipsa relativă a atenuărilor RCE din Chrome înseamnă că calea de la eroarea de corupție a memoriei la exploatare poate fi una scurtă
  • Mai multe verificări de securitate efectuate în sandbox au ca rezultat ca exploiturile RCE să poată, printre altele, să ocolească Politica de aceeași origine (SOP), oferind atacatorilor capabili de RCE acces la serviciile online ale victimelor (cum ar fi e-mailul, documentele și sesiunile bancare) și acreditările salvate
  • Procesul Chrome de depanare a vulnerabilităților poate duce la dezvăluirea publică a detaliilor privind defectele de securitate înainte ca remedierea să fie trimisă clienților

Google a recunoscut eroarea și a plătit Microsoft o recompensă de 15,000 de dolari (pe care Microsoft a donat-o unor organizații de caritate), dar abordarea lor de a corecta eroarea a stârnit și alarma Microsoft. Google a lansat o remediere pentru depozitul V8 GitHub cu trei zile înainte de a remedia browserul și proiectul Chromium, oferind hackerilor rapid 3 zile pentru a face inginerie inversă și a exploata sutele de milioane de utilizatori Chrome.

Având în vedere relația aspră dintre Google și echipele de securitate ale Microsoft, mă aștept că acesta nu va fi primul astfel de schimb în următoarele câteva luni, dar sperăm că rezultatul va fi browsere și sisteme de operare mai sigure pentru noi toți.

Sursa: TechNetPrin BleepingComputer

Mai multe despre subiecte: Chrome, google, microsoft, securitate

Surur Davids

Surur Davids Scut

Expert în smartphone-uri

Surur Davids este fondatorul WMPoweruser, care mai târziu a devenit MSPoweruser.com. Este un expert în smartphone-uri cu peste un deceniu de experiență.

Lasă un comentariu

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate *