• 26.12.2024 09:47

    Сотрудники Google опять нашли уязвимость в ПО Microsoft

    vestihitech Читайте нас в TelegramЭксперты по кибербезопасности Google публично раскрыли уязвимость в браузере Edge, прежде чем компания-разработчик Microsoft успела её устранить. Как сообщает Neowin, специалисты Google Project Zero уведомили коллег о «дыре» в ноябре прошлого года, дав им 90 дней на релиз «заплатки».Поисковик также предоставил дополнительные 14 дней на то, чтобы Microsoft смогла выпустить исправление в рамках ежемесячного «вторника патчей». Однако инженеры не уложилась в срок, поскольку ошибка, по их словам, «оказалась более сложной, чем изначально предполагалось». В Google посчитали причину не слишком весомой и решили обнародовать узявимость.В Google придерживаются очень агрессивной политики относительно раскрытия информации о «дырах» в программном обеспечении. Например, в 2015-м году, после того как разработчик Windows не исправил в 90-дневный срок опасную ошибку в Windows 8.1, поисковик выставил её напоказ — до того, как конкурент успел выпустить патч.При этом поисковик может рассказать об уязвимости в ПО и раньше — если выяснится, что она активно эксплуатируется злоумышленниками. Так Google поступила в 2016-м, обнародовав критическую ошибку в Windows всего через 10 дней после того, как об этом стало известно Microsoft.В конце прошлого года программисты Microsoft ответили тем же, раскрыть информацию об RCE-уязвимости в Chrome, которая позволяла киберпреступникам удаленно исполнять в браузере произвольный код. Google практически сразу залатала «дыру» в бета-версии браузера и выложила исправленный код в репозиторий на GitHub, однако в стабильной версии приложения она оставалась неустраненной на протяжении месяца.В результате у хакеров было достаточно времени, чтобы изучить «заплатку» CVE-2017-5121 и совершить атаку на пользователей Chrome. В Microsoft подчеркнули, что поисковику не следовало раскрывать детали ошибки до того, как она будет исправлена в публичной версии.Поделитесь новостью:.

    Автор: beron