Microsoft поучает Google, как правильно исправлять уязвимости безопасности в браузере Chrome

Сообщив об уязвимости в безопасности веб-браузера Chrome, представители Microsoft проследили за ходом её устранения и обвинили Google в некорректной последовательности действий при работе с Open Source-проектом.

Публчно доступный патч к уязвимости CVE-2017-5121
Публчно доступный патч к уязвимости CVE-2017-5121 / Иллюстрация с сайта GitHub

14 сентября специалисты по безопасности из компании Microsoft обнаружили серьёзную уязвимость в Chrome — CVE-2017-5121, — сообщив об этом Google с одновременной передачей эксплоита для возможности удалённого исполнения кода (RCE exploit). Авторам этого отчёта Google подарила 7500 USD, а вместе с другими багами, найденными в Microsoft в результате проведённого ими комплексного исследования работы песочниц в Chrome, общая премия составила 15 837 USD. Но куда занимательнее в этой истории оказался взгляд Microsoft на дальнейшие действия инженеров Google.

В целом работа Google над уязвимостью CVE-2017-5121 «Out-of-bounds access in V8» в Chrome произвела хорошее впечатление, потому что её исправление было опубликовано уже через 4 дня после первого сообщения*, а исправленная сборка продукта появилась через 3 дня после этого. Однако проблема, которую увидели в Microsoft в этом процессе, заключается в том, что исходный код исправления был опубликован в GitHub до того, как эти обновления стали доступны для пользователей приложения: «Хотя исправление этой проблемы не давало мгновенного доступа к эксплуатации соответствующей уязвимости, в других случаях всё могло бы пройти не так гладко», — пишет в блоге Windows Security Джордан Рабет (Jordan Rabet) из команды Microsoft Offensive Security.

В Microsoft делают заключение, что, пусть такое поведение и может быть естественным для Open Source-проекта, оно создаёт проблемы, когда злоумышленники узнают об уязвимостях до публикации патчей: «Конкретно в этом случае стабильный канал Chrome оставался подверженным уязвимости около месяца после того, как коммит появился в Git. Этого времени более чем достаточно для желающих эксплуатировать проблему. Некоторые компоненты Microsoft Edge, такие как Charka, тоже Open Source-проекты. Поскольку мы убеждены, что важно поставлять исправления клиентам до того, как о них становится известно, мы обновляем Git-репозиторий Chakra только после того, как патч доставлен».

* Скорее это исправление (см. иллюстрацию) корректно называть workaround, а не полноценным патчем. Проблема возникала при оптимизации с использованием анализатора Escape analysis в TurboFan — JIT-компиляторе JavaScript-движка V8. «Глобальное» исправление подобных уязвимостей, как отмечают в Microsoft, появится, когда в Google завершат работы над функцией изоляции сайтов, доступной пока только в экспериментальном режиме.

Дмитрий Шурупов по материалам theregister.co.uk, Microsoft TechNet Blogs, Bugzilla.Redhat.Com.




!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
Apple выпустила macOS High Sierra 10.13.2Apple выпустила macOS High Sierra 10.13.2
В Apple HomeKit найдена опасная уязвимостьВ Apple HomeKit найдена опасная уязвимость
Oracle открыла код двух проектов для Kubernetes на базе Fn project и Cluster FederationOracle открыла код двух проектов для Kubernetes на базе Fn project и Cluster Federation
В ноутбуках HP обнаружен скрытый кейлоггерВ ноутбуках HP обнаружен скрытый кейлоггер
Трамп подписал закон о запрете ПО «Kaspersky Lab»Трамп подписал закон о запрете ПО «Kaspersky Lab»
Блок рекламы


Похожие новости

Chrome для Windows начнёт блокировать внедрение сторонних кодовChrome для Windows начнёт блокировать внедрение сторонних кодов
DriveSync — Linux-клиент для синхронизации файлов с Google DriveDriveSync — Linux-клиент для синхронизации файлов с Google Drive
ОС Google Fuchsia получит поддержку языка программирования Apple SwiftОС Google Fuchsia получит поддержку языка программирования Apple Swift
Microsoft сделает поиск в Windows 10 наподобие macOS SpotlightMicrosoft сделает поиск в Windows 10 наподобие macOS Spotlight
container-diff — новая утилита от Google для сравнения образов Docker-контейнеровcontainer-diff — новая утилита от Google для сравнения образов Docker-контейнеров
Вышел Firefox Quantum — вдвое быстрее старой версии, на 30% легче ChromeВышел Firefox Quantum — вдвое быстрее старой версии, на 30% легче Chrome
Google Chrome будет блокировать нежелательное открытие новых вкладок
Google сдался: Chrome OS научилась поддержке программ под WindowsGoogle сдался: Chrome OS научилась поддержке программ под Windows
31 декабря Microsoft завершит последние бесплатные обновления Windows 1031 декабря Microsoft завершит последние бесплатные обновления Windows 10
Microsoft выпустила Brigade для организации CI/CD pipelines в KubernetesMicrosoft выпустила Brigade для организации CI/CD pipelines в Kubernetes
Последние новости

Подгружаем последние новости