微軟發現 Chrome 上的漏洞，批評谷歌的補丁，扭轉局面是公平競爭

谷歌的零項目安全團隊已經 讓微軟忙於在 Windows 和 Edg 中尋找漏洞e，有時 在微軟提供補丁之前公開宣布它們.

該公司也有 批評微軟在 Windows 10 之前修補 Windows 7 和更早的操作系統，從而向黑客揭示舊版本的操作系統中仍然存在哪些漏洞。

上個月輪到谷歌出手了，因為微軟的進攻性安全研究 (OSR) 團隊在谷歌的 Chrome 瀏覽器中發現了一個允許遠程執行代碼的漏洞，作為該過程的一部分，微軟還抱怨谷歌的修補方法也可能揭示妥協在修復程序推出之前。

關於使用模糊器（谷歌最喜歡的工具）發現的錯誤，OSR 報告：

• 我們發現 CVE-2017-5121 表明可以在現代瀏覽器中找到可遠程利用的漏洞
• Chrome 相對缺乏 RCE 緩解措施意味著從內存損壞漏洞到利用的路徑可能很短
• 在沙箱中進行的多項安全檢查導致 RCE 漏洞利用能夠繞過同源策略 (SOP)，從而使具有 RCE 能力的攻擊者能夠訪問受害者的在線服務（例如電子郵件、文檔和銀行會話）並保存憑據
• Chrome 的漏洞修復流程可能會導致在將修復推送給客戶之前公開披露安全漏洞的詳細信息

谷歌承認了這個漏洞並向微軟支付了 15,000 美元的漏洞賞金（微軟捐贈給了慈善機構），但他們修復漏洞的方法也引起了微軟的警惕。 谷歌在推出對瀏覽器和 Chromium 項目的修復前三天推出了對 V8 GitHub 存儲庫的修復，給快速黑客 3 天的時間對數億 Chrome 用戶進行逆向工程和利用。

鑑於谷歌和微軟安全團隊之間的緊張關係，我預計這不會是未來幾個月的第一次此類交流，但希望結果將是對我們所有人來說更安全的瀏覽器和操作系統。

資源： Technet的通過 BleepingComputer