-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Microsoft zgłasza zdalne wykonanie kodu w Chrome i krytykuje Google

23 października 2017, 12:46 | W biegu | komentarzy 6

Ostatnio załoga ofensywna Microsoftu się rozkręca, ponownie zgłosili do Google zdalne wykonanie kodu w przeglądarce Chrome, otrzymując skromne bounty – $15,837 (które zaokrąglone przez Google do $30 000, zostało przekazane na cele charytatywne).

Microsoft przy okazji wytknął Google-owi luźne podejście do publikacji łat krytycznych błędów (konkretniej – upublicznienie łaty, co dawało około miesiąca czasu na jej analizę i ewentualne wykorzystanie podatności).

For example, this security bug tracker item was also kept private at the time, but the public fix made the vulnerability obvious, especially as it came with a regression test. (…) In this specific case, the stable channel of Chrome remained vulnerable for nearly a month after that commit was pushed to git.

Badacze z Microsoftu, niezbyt pochlebnie wyrażają się również o braku w Chrome kilku mechanizmów chroniących przed exploitami.

Teraz tylko trzeba czekać na kolejne błędy zgłoszone w Edge przez załogę Google – i miejmy nadzieję, że wszyscy na tym skorzystają :-)

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Marcin

    Na początku myślałem że wypłaty za taki bounty to fajny pieniądz ale zestawmy to z zyskami.
    Roczny zysk takiego Google to ok 16 mld $, za krytyczny bounty płacą 15 tys $, czyli wspóczynnik wychodzi jak 1/1066666.
    To tak jakby np Comarch z zyskami ok 32 mln $, za krytyczną dziurę w swojej aplikacji zapłacił 32000000/1066666 = 30$.
    :)

    Odpowiedz
    • dsfgdsfg

      „ale zestawmy to z zyskami”
      W jakim celu??

      Odpowiedz
    • Przemek

      Dobrze, że w ogóle płacą :) parę lat temu to jeszcze można było paragrafem wyrwać ;)

      Odpowiedz
    • @Marcin miałeś na myśli 30zł, czyli jakieś $8.

      Odpowiedz
    • ddd

      A jaki jest roczny zysk z Chrome?

      Odpowiedz
    • c

      Ale Comarch poda większą kwotę… w pozwie :/

      Odpowiedz

Odpowiedz na Marcin