Otočiť sa je férová hra, pretože Microsoft zistil zneužitie prehliadača Chrome, kritizujte opravy spoločnosti Google

Domov » Google

Ikona času čítania 2 min. čítať

Ikona kalendára Publikované dňa

by Surur Davids 

publikované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Bezpečnostný tím spoločnosti Google Project Zero bol Microsoft je zaneprázdnený hľadaním exploitov vo Windows a Edge, a príležitostne ich verejné oznámenie skôr, ako bude mať Microsoft k dispozícii opravy.

Spoločnosť má tiež kritizoval Microsoft za opravu systému Windows 10 pred Windowsom 7 a staršie operačné systémy, čím sa hackerom odhalí, ktoré zraniteľnosti sú stále prítomné v starších verziách operačného systému.

Minulý mesiac prišiel rad na Google, keď tím Microsoft Offensive Security Research (OSR) našiel chybu v prehliadači Chrome od Google, ktorá umožňovala vzdialené spustenie kódu, a ako súčasť procesu sa Microsoft tiež sťažoval, že spôsob opravy Google môže tiež odhaliť kompromisy. pred spustením opráv.

Ohľadom chyby, ktorá bola objavená pomocou fuzzera (obľúbeného nástroja Google), OSR hlási:

  • Náš objav CVE-2017-5121 naznačuje, že v moderných prehliadačoch je možné nájsť vzdialene zneužiteľné zraniteľnosti
  • Relatívny nedostatok obmedzení RCE v prehliadači Chrome znamená, že cesta od chyby poškodenia pamäte k zneužitiu môže byť krátka
  • Niekoľko bezpečnostných kontrol vykonávaných v rámci karantény vedie k tomu, že exploity RCE dokážu okrem iného obísť politiku rovnakého pôvodu (SOP), čím útočníkom s podporou RCE poskytujú prístup k online službám obetí (ako sú e-maily, dokumenty a bankové relácie). a uložené poverenia
  • Proces opravy zraniteľností v prehliadači Chrome môže viesť k verejnému zverejneniu podrobností o bezpečnostných nedostatkoch skôr, ako budú opravy odoslané zákazníkom

Google uznal chybu a vyplatil Microsoftu odmenu za chyby vo výške 15,000 8 dolárov (ktorú Microsoft venoval na charitu), ale ich prístup k oprave chyby vyvolal aj poplach v Microsofte. Google vydal opravu úložiska V3 GitHub tri dni predtým, ako vydal opravu prehliadača a projektu Chromium, čo dáva rýchlym hackerom XNUMX dni na spätnú analýzu a využitie stoviek miliónov používateľov prehliadača Chrome.

Vzhľadom na prudký vzťah medzi Google a bezpečnostnými tímami Microsoftu očakávam, že to nebude prvá takáto výmena v priebehu niekoľkých nasledujúcich mesiacov, ale dúfajme, že výsledkom budú bezpečnejšie prehliadače a operačné systémy pre nás všetkých.

zdroj: Technetvia BleepingComputer

Viac o témach: chróm, Google, microsoft, zabezpečenia

Surur Davids

Surur Davids Shield

Expert na smartfóny

Surur Davids je zakladateľom WMPoweruser, ktorý sa neskôr stal MSPoweruser.com. Je to odborník na smartfóny s viac ako desaťročnými skúsenosťami.

Nechaj odpoveď

Vaša e-mailová adresa nebude zverejnená. Povinné položky sú označené *