Microsoft рассказала о критической уязвимости в Chrome

20 Октябрь 2017

Конкурентная борьба между крупнейшими IT-компаниями Google и Microsoft с каждым годом становится все жестче. Эти гиганты не упускают ни единой возможности, чтобы насолить друг другу и подпортить репутацию. Одним из наиболее часто используемых методов стала разгромная критика в адрес конкурента.

На прошлой неделе компания Google открыто раскритиковала подход Microsoft к выпуску обновлений для своих продуктов. Специалистов Google Project Zero выразили свое недовольство системой обновления операционной системы Windows. Они отметили, что для самой последней версии ОС обновления выпускаются регулярно, в то же время пользователи других более ранних версий долгое время остаются уязвимыми перед разного рода атаками, так как Microsoft или вовсе пренебрегает их безопасностью, или же выпускает обновления для этих версий гораздо позже. Учитывая то, что уязвимости в операционных системах очень часто затрагивают одновременно несколько версий, то выход обновлений для Windows 10 может спровоцировать рост числа атак на пользователей других версий ОС. Узнав из обновления, какие уязвимости получили заплатки, злоумышленники могут эксплуатировать их в более старых версиях ОС.

Ждать ответа от Microsoft долго не пришлось. Ее специалисты тоже принялись критиковать систему выпуска обновлений для самого популярного в мире браузера Chrome. Отметим, что он основан на открытом браузерном движке Chromium. Копания Google старается максимально оперативно устранять обнаруженные критические уязвимости, но что касается остальных,то очень часто изменения исходного кода еще до выхода официальных патчей появляются на GitHub. Из этих изменений злоумышленники тоже могут заранее узнать об обнаруженных уязвимостях и проэксплуатировать их для совершения атак. Получается, что система обновления Chrome тоже далека от идеала.

Соперничество между этими двумя компания уже дошло до того, что они время от времени раскрывают информацию об обнаруженных багах до выхода официальных патчей. Делается это для того, чтобы подпортить репутацию своего конкурента. Такие действия перешли в активную фазу примерно год назад. За это время Google неоднократно сообщал об уязвимостях в фирменных браузерах Microsoft, в самой операционной системе и прочих продуктах. Такие поступки подвергают серьезному риску всех пользователей этих продуктов. На этот раз ответ последовал за компанией Microsoft. Ее специалисты раскрыли подробности о баге в Chrome еще до выхода официальных патчей. Раскрытая уязвимость имеет статус критической и позволяет злоумышленникам удаленно выполнить произвольный код.

Редмодская команда решила протестировать JavaScript-движок Chrome V8. Для этого она использовала программу ExprGen, которая была разработана самой компанией Microsoft для тестирования собственного движка. Во время проведения тестов специалистам удалось выявить баг в движке Chrome, который мог спровоцировать утечку личных данных пользователей и выполнение произвольного кода на компьютере жертвы.

С помощью обнаруженной уязвимости злоумышленники могут похитить логины и пароли от любого сайта, скрыто осуществлять вход на те сайты, где человек уже прошел процесс авторизации. То есть по сути мошенник может просто подменить личность пользователя и совершать любые действия вместо него.

Компания Google уже устранила эту уязвимость. Заплатки для нее содержатся в версии Chrome 61, вышедшей в сентябре текущего года. Но информация об этой дыре в браузере до сих пор держалась в секрете.

Стоит добавить, что за предоставление информации о критической уязвимости в Chrome специалисты Microsoft в рамках программы поощрений получили почти 16 000 долларов.