chrome

Google czekało miesiąc z załataniem dziury w Chrome

Fot. chrome
Microsoft wykrył lukę w przeglądarce i dał znać producentowi. Google jednak zamiast naprawić błąd, opublikowało w serwisie GitHub poprawioną wersję Chrome. Hakerzy mieli miesiąc na zbadanie różnic w obu wersjach i napisanie exploita.

Eksperci od bezpieczeństwa z Redmond wzięli pod lupę przetwarzanie JavaScriptu przez przeglądarkę Google’a. Udało im się wydobyć hasła, a nawet wstrzyknąć złośliwy kod na każdą stronę otworzoną w zakładce. Chrome teoretycznie uruchamia dla zakładek osobne procesy – inżynierowie Microsoftu jednak zauważyli, że można wymusić na przeglądarce otworzenie nowej zakładki w tym samym procesie. Powoduje to duże zagrożenie dla bezpieczeństwa programu.

Programiści Microsoftu przejęli kontrolę nad Chromem za pomocą kodu JavaScript (fot. Microsoft)

Google proponuje każdemu, kto znajdzie poważną lukę bezpieczeństwa, 7,5 tysiąca dolarów. Tak też było w przypadku Microsoftu, który zgłosił problem 14 września. Łącznie z wykrytymi innymi, mniejszymi błędami koncern zarobił u konkurenta 30 tysięcy dolarów, które przekazał na wielokulturowe centrum edukacji dla dzieci.

Przeglądarka Chrome nie zawsze uruchamiała karty w osobnych procesach (fot. Microsoft)

Odwrotna sytuacja zdarzyła się rok temu. W październiku 2016 Google wykryło groźną lukę w jądrze Windows i w odtwarzaczu Flash. Firmy Microsoft i Adobe zostały powiadomione o błędach w ich oprogramowaniu, jednak po tygodniu Google zdecydowało się ujawnić obydwie luki, nie czekając aż firmy zdążą zlikwidować zagrożenie. Spotkało się to z ostrą krytyką ze strony Microsoftu, który oskarżył wtedy Google o narażenie użytkowników na cyberataki.

Google wypłaciło Microsoftowi 30 tysięcy $ za znalezione w Chrome błędy (fot. Pixels)

Microsoft poczekał teraz aż Google wprowadzi poprawki do stabilnej wersji przeglądarki i dopiero poinformował o lukach. Nie zmienia to faktu, że obydwa koncerny polują na błędy rywala. A hakerzy nie śpią. Kilka dni temu pisaliśmy, że w 2013 roku cyberprzestępcza grupa, wykorzystując właśnie dane o lukach, przeprowadziła serię ataków – między innymi na Microsoft i Google. | CHIP

Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.