Microsoft, Chrome'da istismar bulduğunda ve Google'ın düzeltme ekini eleştirdiğinde geri dönmek adil bir oyundur

Ana Sayfa » Google

Okuma zamanı simgesi 2 dk. okuman

Takvim simgesi Yayınlandı

by Surur Davutları 

yayınlandı

Bu makaleyi paylaş

Okuyucular MSpoweruser'ı desteklemeye yardımcı olur. Bağlantılarımız aracılığıyla satın alırsanız komisyon alabiliriz. Araç İpucu Simgesi

MSPoweruser'ın editör ekibini ayakta tutmasına nasıl yardımcı olabileceğinizi öğrenmek için açıklama sayfamızı okuyun. Daha fazla

Google'ın Project Zero güvenlik ekibi, Microsoft'u Windows ve Edg'de açıkları bulmakla meşgul tutmake ve bazen Microsoft yamaları kullanıma sunulmadan önce bunları herkese açık olarak duyurmak.

Şirket ayrıca Microsoft'u Windows 10'u Windows 7'den önce yamaladığı için eleştirdi ve daha önceki işletim sistemleri, böylece bilgisayar korsanlarına, işletim sisteminin eski sürümlerinde hala hangi güvenlik açıklarının bulunduğunu gösterir.

Geçen ay, Microsoft'un Saldırgan Güvenlik Araştırması (OSR) ekibi Google'ın Chrome tarayıcısında uzaktan kod yürütülmesine izin veren bir hata bulduğundan ve sürecin bir parçası olarak Microsoft, Google'ın yama yönteminin de uzlaşmaları ortaya çıkarabileceğinden şikayet ettiğinden, Google'ın karıştırma sırası gelmişti. düzeltmeler kullanıma sunulmadan önce.

OSR, bir fuzzer (Google'ın favori aracı) kullanılarak keşfedilen hatayla ilgili olarak şunları bildiriyor:

  • CVE-2017-5121'i keşfetmemiz, modern tarayıcılarda uzaktan yararlanılabilen güvenlik açıklarını bulmanın mümkün olduğunu gösteriyor
  • Chrome'un göreceli RCE azaltıcı eksikliği, bellek bozulması hatasından istismara giden yolun kısa olabileceği anlamına gelir
  • Korumalı alan içinde yapılan çeşitli güvenlik kontrolleri, RCE açıklarının diğer şeylerin yanı sıra Aynı Köken Politikasını (SOP) atlayabilmesine ve RCE yetenekli saldırganların kurbanların çevrimiçi hizmetlerine (e-posta, belgeler ve bankacılık oturumları gibi) erişmesine izin vermesine neden olur. ve kayıtlı kimlik bilgileri
  • Chrome'un güvenlik açıklarına hizmet etme süreci, düzeltmeler müşterilere gönderilmeden önce güvenlik açıklarına ilişkin ayrıntıların kamuya açıklanmasıyla sonuçlanabilir.

Google hatayı kabul etti ve Microsoft'a (Microsoft'un hayır kurumuna bağışladığı) 15,000 dolarlık bir hata ödülü ödedi, ancak hatayı düzeltmeye yönelik yaklaşımları da Microsoft'ta alarma neden oldu. Google, tarayıcıya ve Chromium projesine bir düzeltme göndermeden üç gün önce V8 GitHub deposuna bir düzeltme gönderdi ve hızlı bilgisayar korsanlarına yüz milyonlarca Chrome kullanıcısını tersine mühendislik ve sömürmeleri için 3 gün verdi.

Google ve Microsoft'un güvenlik ekipleri arasındaki sert ilişki göz önüne alındığında, bunun önümüzdeki birkaç ay içinde bu tür ilk alışveriş olmayacağını umuyorum, ancak umarım sonuç hepimiz için daha güvenli tarayıcılar ve işletim sistemleri olacaktır.

Kaynak: TechnetÜzerinden BleepingComputer

Konular hakkında daha fazla bilgi: krom, google, microsoft, güvenlik

Surur Davutları

Surur Davutları Kalkan

Akıllı Telefon Uzmanı

Surur Davids, daha sonra MSPoweruser.com adını alan WMPoweruser'ın kurucusudur. On yıldan fazla deneyime sahip bir akıllı telefon uzmanıdır.

Yorum bırak

E-posta hesabınız yayımlanmayacak. Gerekli alanlar işaretlenmişlerdir. *