Turn around är rättvist spel eftersom Microsoft hittar utnyttjande på Chrome, kritiserar Googles patchning

Hem » Google

Lästid ikon 2 min. läsa

Kalenderikonen Publicerad den

by Surur Davids 

publicerad den

Dela den här artikeln

Läsare hjälper till att stödja MSpoweruser. Vi kan få en provision om du köper via våra länkar. Verktygstipsikon

Läs vår informationssida för att ta reda på hur du kan hjälpa MSPoweruser upprätthålla redaktionen Läs mer

Googles Project Zero-säkerhetsteam har varit hålla Microsoft sysselsatta med att hitta exploateringar i Windows och Edge, och ibland tillkännage dem offentligt innan Microsoft har patchar tillgängliga.

Företaget har också kritiserade Microsoft för att ha patchar Windows 10 före Windows 7 och tidigare operativsystem, vilket avslöjar för hackare vilka sårbarheter som fortfarande finns i de äldre versionerna av operativsystemet.

Förra månaden var det Googles tur att krypa, eftersom Microsofts team för offensiv säkerhetsforskning (OSR) hittade ett fel i Googles webbläsare Chrome som möjliggjorde fjärrkörning av kod, och som en del av processen klagade Microsoft också på att Googles metod för patchning också kunde avslöja kompromisserna innan korrigeringarna har rullat ut.

När det gäller buggen, som upptäcktes med en fuzzer (Googles favoritverktyg), rapporterar OSR:

  • Vår upptäckt av CVE-2017-5121 indikerar att det är möjligt att hitta fjärrexploaterbara sårbarheter i moderna webbläsare
  • Chromes relativa brist på RCE-reducering innebär att vägen från minneskorruptionsfel till att utnyttja kan vara kort
  • Flera säkerhetskontroller som görs inom sandlådan resulterar i att RCE-exploater bland annat kan kringgå Same Origin Policy (SOP), vilket ger RCE-kapabla angripare tillgång till offrens onlinetjänster (som e-post, dokument och banksessioner) och sparade referenser
  • Chromes process för att åtgärda sårbarheter kan leda till att detaljer om säkerhetsbrister offentliggörs innan korrigeringar skickas till kunder

Google erkände felet och betalade ut en buggpenning på 15,000 8 $ till Microsoft (som Microsoft donerade till välgörenhet), men deras tillvägagångssätt för att korrigera felet väckte också oro hos Microsoft. Google skickade ut en korrigering till V3 GitHub-förvaret tre dagar innan den skickade ut en korrigering till webbläsaren och Chromium-projektet, vilket gav snabba hackare XNUMX dagar på sig att bakåtkonstruera och utnyttja hundratals miljoner Chrome-användare.

Med tanke på det hårda förhållandet mellan Google och Microsofts säkerhetsteam förväntar jag mig att detta inte kommer att vara det första utbytet av detta slag under de närmaste månaderna, men förhoppningsvis kommer resultatet att bli säkrare webbläsare och operativsystem för oss alla.

Källa: Technetvia BleepingComputer

Mer om ämnena: krom, google, microsoft, säkerhet

Surur Davids

Surur Davids Sköld

Smartphone expert

Surur Davids är grundaren av WMPoweruser som senare blev MSPoweruser.com. Han är en smartphoneexpert med över ett decenniums erfarenhet.

Kommentera uppropet

E-postadressen publiceras inte. Obligatoriska fält är markerade *