Microsoft поучает Google, как правильно исправлять уязвимости безопасности в браузере Chrome

Сообщив об уязвимости в безопасности веб-браузера Chrome, представители Microsoft проследили за ходом её устранения и обвинили Google в некорректной последовательности действий при работе с Open Source-проектом.

Публчно доступный патч к уязвимости CVE-2017-5121
Публчно доступный патч к уязвимости CVE-2017-5121 / Иллюстрация с сайта GitHub

14 сентября специалисты по безопасности из компании Microsoft обнаружили серьёзную уязвимость в Chrome — CVE-2017-5121, — сообщив об этом Google с одновременной передачей эксплоита для возможности удалённого исполнения кода (RCE exploit). Авторам этого отчёта Google подарила 7500 USD, а вместе с другими багами, найденными в Microsoft в результате проведённого ими комплексного исследования работы песочниц в Chrome, общая премия составила 15 837 USD. Но куда занимательнее в этой истории оказался взгляд Microsoft на дальнейшие действия инженеров Google.

В целом работа Google над уязвимостью CVE-2017-5121 «Out-of-bounds access in V8» в Chrome произвела хорошее впечатление, потому что её исправление было опубликовано уже через 4 дня после первого сообщения*, а исправленная сборка продукта появилась через 3 дня после этого. Однако проблема, которую увидели в Microsoft в этом процессе, заключается в том, что исходный код исправления был опубликован в GitHub до того, как эти обновления стали доступны для пользователей приложения: «Хотя исправление этой проблемы не давало мгновенного доступа к эксплуатации соответствующей уязвимости, в других случаях всё могло бы пройти не так гладко», — пишет в блоге Windows Security Джордан Рабет (Jordan Rabet) из команды Microsoft Offensive Security.

В Microsoft делают заключение, что, пусть такое поведение и может быть естественным для Open Source-проекта, оно создаёт проблемы, когда злоумышленники узнают об уязвимостях до публикации патчей: «Конкретно в этом случае стабильный канал Chrome оставался подверженным уязвимости около месяца после того, как коммит появился в Git. Этого времени более чем достаточно для желающих эксплуатировать проблему. Некоторые компоненты Microsoft Edge, такие как Charka, тоже Open Source-проекты. Поскольку мы убеждены, что важно поставлять исправления клиентам до того, как о них становится известно, мы обновляем Git-репозиторий Chakra только после того, как патч доставлен».

* Скорее это исправление (см. иллюстрацию) корректно называть workaround, а не полноценным патчем. Проблема возникала при оптимизации с использованием анализатора Escape analysis в TurboFan — JIT-компиляторе JavaScript-движка V8. «Глобальное» исправление подобных уязвимостей, как отмечают в Microsoft, появится, когда в Google завершат работы над функцией изоляции сайтов, доступной пока только в экспериментальном режиме.

Дмитрий Шурупов по материалам theregister.co.uk, Microsoft TechNet Blogs, Bugzilla.Redhat.Com.




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Школьник из Чернигова взял гран-при на международном конкурсе по IT-технологиямШкольник из Чернигова взял гран-при на международном конкурсе по IT-технологиям
Блок рекламы


Похожие новости

Новое приложение от Microsoft перенесет возможности смартфонов на компьютеры с Windows 10Новое приложение от Microsoft перенесет возможности смартфонов на компьютеры с Windows 10
Платформа Google IoT Android Things открыта для всех разработчиковПлатформа Google IoT Android Things открыта для всех разработчиков
Windows 10 использует 700 млн устройств. В Microsoft планировали 1 млрд к 2018 году
В Chrome OS появилась поддержка Steam и Linux-приложенийВ Chrome OS появилась поддержка Steam и Linux-приложений
Chrome научился блокировать посторонние звуки на сайтахChrome научился блокировать посторонние звуки на сайтах
Microsoft упрощает создание скриншотов в Windows 10Microsoft упрощает создание скриншотов в Windows 10
Средства защиты от взлома Google теперь поддерживают приложения для iOSСредства защиты от взлома Google теперь поддерживают приложения для iOS
Как Microsoft помогла посадить человека за решетку за «пиратство» бесплатного софтаКак Microsoft помогла посадить человека за решетку за «пиратство» бесплатного софта
Следующая версия Microsoft Window 10 будет включать новую «Lean edition»Следующая версия Microsoft Window 10 будет включать новую «Lean edition»
Разработчики Google выпустили бесплатное приложение для изучения JavaScriptРазработчики Google выпустили бесплатное приложение для изучения JavaScript
Последние новости

Подгружаем последние новости