13.09.10 Google розкрила серйозну уразливість в браузері Microsoft Edge раніше випуску заплатки | |
 Загальновідомо, що Google не упускає жодної можливості, щоб підчепити або насолити своєму одвічному конкуренту - компанії Microsoft. І за останні кілька років у цієї пари була далеко не одна серйозна розмова на тему розкриття вразливостей з безпеки продуктів. І ось Google вирішила подратувати Microsoft і розкрила інформацію про уразливість в одному з ключових продуктів програмного гіганта до випуску заплатки з виправленнями. Мова про уразливість в браузері Edge, виявленої учасниками Google Project Zero ще в листопаді минулого року.
Сама по собі вразливість досить серйозна - вона пов'язана з функціональністю JIT (технологія динамічної компіляції) движка Chakra і може використовуватися для обходу захисного механізму Arbitrary Code Guard (ACG), який дебютував в Windows 10 Creators Update і запобігає» різного роду атаки в Windows 10. Досліднику вдалося успішно обійти захист ACG і створити виконувану сторінку в пам'яті. Більш докладно про уразливість можна почитати на сайті Google Project Zero. Відзначимо, що цю уразливість в Microsoft Edge був привласнений «середній» рівень серйозності за шкалою Google. Крім того, Google надала додатковий 14-денний пільговий період, щоб Microsoft включила відповідне виправлення в традиційний вівторковій пакет оновлення безпеки за лютий, але програмний гігант з якихось причин зірвав ці терміни. Точніше, причиною стало те, що розробка цього самого «виправлення виявилася складнішою, ніж вважалося спочатку». Більш того, інженер Google, який знайшов цю уразливість, каже, що Microsoft «поки не визначила дату випуску патча». Таким чином, Google в черговий раз підставила Microsoft. Раніше пошуковий гігант неодноразово робив аналогічним чином і публікував дані про уразливість в продуктах програмного гіганта, не чекаючи поки той випустить виправлення. Наприклад, в 2016 році Google розкрила вразливість в Windows. Нагадаємо, що проект Google Project Zero був анонсований в липні 2014 г. Його учасники займаються пошуком вразливостей в програмному забезпеченні. За правилами Google Project Zero, на виправлення вразливостей виробникам відводиться 90 днів, після чого інформація про них розміщується в Інтернеті. Компанія Google може робити винятки з цього 90-денного правила, публікуючи інформацію про уразливість раніше (якщо вада активно використовується зловмисниками) або пізніше. Два помітних виключення останнього часу, коли Google затримала публікацію відомості на цілих півроку - гучні уразливості Meltdown і Spectre, які зачіпали не тільки пристрої під управлінням власних ОС Chrome OS і Android, а й конкуруючих Windows, Linux, macOS і iOS. Джерело: Neowin i Google Project Zero | |
|
| |
| Всього коментарів: 0 | |