Microsoft поучает Google, как правильно исправлять уязвимости безопасности в браузере Chrome
1
Иллюстрация с сайта GitHub
Сообщив об уязвимости в безопасности веб-браузера Chrome, представители Microsoft проследили за ходом её устранения и указали Google на неправильную последовательность действий при работе с Open Source-проектом.
14 сентября специалисты по безопасности из компании Microsoft обнаружили серьёзную уязвимость в Chrome — CVE-2017-5121, — сообщив об этом Google с одновременной передачей эксплоита для возможности удалённого исполнения кода (RCE exploit). Авторам этого отчёта Google подарила 7500 USD, а вместе с другими багами, найденными в Microsoft в результате проведённого ими комплексного исследования работы песочниц в Chrome, общая премия составила 15 837 USD. Но куда занимательнее в этой истории оказался взгляд Microsoft на дальнейшие действия инженеров Google.
В целом работа Google над уязвимостью CVE-2017-5121 «Out-of-bounds access in V8» в Chrome произвела хорошее впечатление, потому что её исправление было опубликовано уже через 4 дня после первого сообщения*, а исправленная сборка продукта появилась через 3 дня после этого. Однако проблема, которую увидели в Microsoft в этом процессе, заключается в том, что исходный код исправления был опубликован в GitHub до того, как эти обновления стали доступны для пользователей приложения: «Хотя исправление этой проблемы не давало мгновенного доступа к эксплуатации соответствующей уязвимости, в других случаях всё могло бы пройти не так гладко», — пишет в блоге Windows Security Джордан Рабет (Jordan Rabet) из команды Microsoft Offensive Security.
В Microsoft делают заключение, что, пусть такое поведение и может быть естественным для Open Source-проекта, оно создаёт проблемы, когда злоумышленники узнают об уязвимостях до публикации патчей: «Конкретно в этом случае стабильный канал Chrome оставался подверженным уязвимости около месяца после того, как коммит появился в Git. Этого времени более чем достаточно для желающих эксплуатировать проблему. Некоторые компоненты Microsoft Edge, такие как Charka, тоже Open Source-проекты. Поскольку мы убеждены, что важно поставлять исправления клиентам до того, как о них становится известно, мы обновляем Git-репозиторий Chakra только после того, как патч доставлен».
* Скорее это исправление (см. иллюстрацию) корректно называть workaround, а не полноценным патчем. Проблема возникала при оптимизации с использованием анализатора Escape analysis в TurboFan — JIT-компиляторе JavaScript-движка V8. «Глобальное» исправление подобных уязвимостей, как отмечают в Microsoft, появится, когда в Google завершат работы над функцией изоляции сайтов, доступной пока только в экспериментальном режиме.
Постоянная ссылка к новости: http://www.nixp.ru/news/14204.html. Дмитрий Шурупов по материалам theregister.co.uk, Microsoft TechNet Blogs, Bugzilla.Redhat.Com.
В CNCF приняты Open Source-проекты Notary от Docker и TUF, а также 30 новых компаний-участников
Microsoft стала спонсором Open Source Initiative
1
Microsoft и Red Hat занялись запуском Windows-контейнеров и SQL Server на OpenShift
Microsoft стала золотым членом Open Source-организации Cloud Foundry Foundation
Google откажется от использования SHA-1 для HTTPS в браузере Chrome
В браузере Google Chrome используется Open Source от Microsoft
Последние комментарии
-
Zlata02747393, 11 января в 15:11 → Математика в школе 16
-
rgo, 11 января в 10:28 → Как «замокать» файл для юниттеста в Python? 1
-
Zlata02747393, 11 января в 9:47 → посоветуйте!!Как ой велосипед приобрести девушке? 9
-
Yarossslavovich, 30 декабря в 13:05 → Как настроить чтоб работало две сетевые платы — две сети 2
-
ilyas490, 8 декабря в 13:27 → Книги по Bash? 13
