Microsoft поучает Google, как правильно исправлять уязвимости безопасности в браузере Chrome

Сообщив об уязвимости в безопасности веб-браузера Chrome, представители Microsoft проследили за ходом её устранения и обвинили Google в некорректной последовательности действий при работе с Open Source-проектом.

Публчно доступный патч к уязвимости CVE-2017-5121
Публчно доступный патч к уязвимости CVE-2017-5121 / Иллюстрация с сайта GitHub

14 сентября специалисты по безопасности из компании Microsoft обнаружили серьёзную уязвимость в Chrome — CVE-2017-5121, — сообщив об этом Google с одновременной передачей эксплоита для возможности удалённого исполнения кода (RCE exploit). Авторам этого отчёта Google подарила 7500 USD, а вместе с другими багами, найденными в Microsoft в результате проведённого ими комплексного исследования работы песочниц в Chrome, общая премия составила 15 837 USD. Но куда занимательнее в этой истории оказался взгляд Microsoft на дальнейшие действия инженеров Google.

В целом работа Google над уязвимостью CVE-2017-5121 «Out-of-bounds access in V8» в Chrome произвела хорошее впечатление, потому что её исправление было опубликовано уже через 4 дня после первого сообщения*, а исправленная сборка продукта появилась через 3 дня после этого. Однако проблема, которую увидели в Microsoft в этом процессе, заключается в том, что исходный код исправления был опубликован в GitHub до того, как эти обновления стали доступны для пользователей приложения: «Хотя исправление этой проблемы не давало мгновенного доступа к эксплуатации соответствующей уязвимости, в других случаях всё могло бы пройти не так гладко», — пишет в блоге Windows Security Джордан Рабет (Jordan Rabet) из команды Microsoft Offensive Security.

В Microsoft делают заключение, что, пусть такое поведение и может быть естественным для Open Source-проекта, оно создаёт проблемы, когда злоумышленники узнают об уязвимостях до публикации патчей: «Конкретно в этом случае стабильный канал Chrome оставался подверженным уязвимости около месяца после того, как коммит появился в Git. Этого времени более чем достаточно для желающих эксплуатировать проблему. Некоторые компоненты Microsoft Edge, такие как Charka, тоже Open Source-проекты. Поскольку мы убеждены, что важно поставлять исправления клиентам до того, как о них становится известно, мы обновляем Git-репозиторий Chakra только после того, как патч доставлен».

* Скорее это исправление (см. иллюстрацию) корректно называть workaround, а не полноценным патчем. Проблема возникала при оптимизации с использованием анализатора Escape analysis в TurboFan — JIT-компиляторе JavaScript-движка V8. «Глобальное» исправление подобных уязвимостей, как отмечают в Microsoft, появится, когда в Google завершат работы над функцией изоляции сайтов, доступной пока только в экспериментальном режиме.

Дмитрий Шурупов по материалам theregister.co.uk, Microsoft TechNet Blogs, Bugzilla.Redhat.Com.




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Microsoft возобновляет распространение обновления Windows 10 October 2018Microsoft возобновляет распространение обновления Windows 10 October 2018
Вышла новая версия программы SiteAnalyzer 1.6.2Вышла новая версия программы SiteAnalyzer 1.6.2
Microsoft добавила поддержку 64-битных приложений в Windows 10 для ARM-процессоровMicrosoft добавила поддержку 64-битных приложений в Windows 10 для ARM-процессоров
Блок рекламы


Похожие новости

Microsoft добавила поддержку 64-битных приложений в Windows 10 для ARM-процессоровMicrosoft добавила поддержку 64-битных приложений в Windows 10 для ARM-процессоров
Microsoft возобновляет распространение обновления Windows 10 October 2018Microsoft возобновляет распространение обновления Windows 10 October 2018
Chrome 71 заблокирует всю рекламу на сайтах, злоупотребляющих еюChrome 71 заблокирует всю рекламу на сайтах, злоупотребляющих ею
Глава по разработке голосового помощника Cortana покидает MicrosoftГлава по разработке голосового помощника Cortana покидает Microsoft
В Google Chrome появился режим «Картинка в картинке»В Google Chrome появился режим «Картинка в картинке»
Chrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 годуChrome, IE, Edge, Firefox и Safari отключат TLS 1.0 и TLS 1.1 в 2020 году
Microsoft вновь запустила обновление Windows 10 October 2018Microsoft вновь запустила обновление Windows 10 October 2018
Microsoft прекращает обновление Windows 10 October 2018 из-за серьёзных проблемMicrosoft прекращает обновление Windows 10 October 2018 из-за серьёзных проблем
Microsoft выпустил обновление Windows 10 October 2018 UpdateMicrosoft выпустил обновление Windows 10 October 2018 Update
Microsoft прекратит поддержку "классической" версии Skype в ноябреMicrosoft прекратит поддержку "классической" версии Skype в ноябре
Последние новости

Подгружаем последние новости