原标题:微软以牙还牙揭露Chrome漏洞,还拿到1.5万美元Google抓漏奖金
示意图,与新闻事件无关。
微软于本周三(10/18)公布了一藏匿在Google△Chrome浏览器的安全漏洞,编号为CVE-2017-5121为一远端程式执行(Remote△Code△Execution,RCE)漏洞,指出强调沙箱安全政策对于Chrome的安全性来说并不足够,同时批评Google的修补程序有瑕疵。
外界纷纷将微软此举视为是“以其人之道还治其身”的作法。Google的抓虫团队Project△Zero多次公布微软产品的安全漏洞,其中更有几次是在微软尚未修补前公开,双方还曾为此隔空交战。本月初,Project△Zero也抨击微软的修补措施有问题,指出微软经常优先修补最新作业系统的安全漏洞,骇客便可借由程式码的比对找出旧版Windows中的同样漏洞并伺机攻击。
微软的“反击”是以自行开发的漏洞检查工具ExprGen来检验Chrome浏览器所使用的V8 JavaScript引擎,发现了CVE-2017-5121与其他臭虫 ,还打造了开采CVE-2017-5121漏洞的攻击程式,并于今年9月14日将它们提交给Google,总计获得Google所颁发的15837美元抓漏奖金,其中,光是CVE-2017-5121漏洞的奖金便占了7500美元。Google已于9月中旬释出的Chrome△61修补了相关漏洞。
微软表示,Chrome相关缺乏RCE的防范机制,意味着从记忆体损坏臭虫到远端执行程式漏洞的路径可能很短,且于沙箱内的多种安全检查让RCE攻击程式得以绕过同源政策,以便存取受害者正执行的网络服务或储存相关凭证。
微软同样也批评了Google的修补政策,指出Google先将修补程式上传至GitHub的V8专案,再于3天后修补Chromium专案与Chrome浏览器,而这短短的几天已足以让骇客取得漏洞资讯、打造开采程式并发动攻击。
尽管多数人都认为微软是在对Google还以颜色,但双方在抓漏上的竞争也将替使用者创造更安全的数位环境。
iThome△Security
相关:
微软以牙还牙抓出Chrome漏洞,还拿到1.5万美元Google抓漏奖金
示意图,与新闻事件无关。 微软于本周三(10/18)公布了一藏匿在Google△Chrome浏览器的安全漏洞,编号为CVE-2017-5121为一远端程式执行(Remote△Code△Execution,RCE)漏洞,指出强调沙箱安全政策对于Chrome的安
我酷新闻网记者蓝立晴/综合报道今年8月Google推出了Android平台的AR开发工具:ARCore,初期只能在GooglePixe机种以及三星(Samsung)GalaxyS8使用,并喊出未来要让ARCore支援1亿部Android装置的目标,现在三星正式宣
#三星携手Google ARCore平台适用Galaxy机种
我酷新闻网记者蓝立晴/综合报道今年8月Google推出了Android平台的AR开发工具:ARCore,初期只能在GooglePixe机种以及三星(Samsung)GalaxyS8使用,并喊出未来要让ARCore支援1亿部Android装置的目标,现在三星正式宣
开发人员福音! Mozilla、微软、Google与三星将集中各家浏览器网页开发文件
图片来源: MDN△Web△Docs Mozilla于周三(10/18)宣布,微软、Google、三星与全球资讯网络联盟(World△Wide△Web△Consortium,W3C)已同意把各家浏览器的网页开发文件统一存放在Mozilla的MDN△Web△Docs网站上,以
Google与三星联手,两款Galaxy旗舰手机将采用ARCore平台
图片来源: Samsung 周三韩国电子大厂三星在旧金山开发者大会上,宣布将与Google合作,旗下旗舰手机Galaxy△S8+和Note△8将采用Google△ARCore虚拟实境开发软件平台。?在此之前,三星Galaxy△S8推出时就已经采用ARCor