Chrome

Publikované 19.10.2017 Napísal v kategórii Bezpečnosť a 594 Views

Microsoft vracia úder, Google kritizuje za praktiky súvisiace s bezpečnostnými záplatami pre Chrome | Bezpečnosť

Bezpečnostní experti z tímu Project Zero spoločnosti Google za ostatné mesiace opakovane verejne upozornili na viaceré zraniteľnosti prítomné v operačnom systéme Windows ešte predtým, ako Microsoft stihol zareagovať a opraviť ich. Pri týchto príležitostiach zároveň nechýbala otvorená kritika na to, že riešenia zo strany Microsoftu neprichádzajú dostatočne rýchlo po nahlásení problémov, teda, že dochádza k prekračovaniu časovej lehoty, ktorá bola zo strany expertov poskytnutá s tým, že po túto dobu nebudú informácie poskytnuté verejnosti.

Po zistení vážnych zraniteľností sú totiž informácie z logických dôvodov poskytnuté len tvorcom softvéru, ktorým je následne poskytnuté časové okno na ich vyriešenie, aby sa príliš skorým zverejnením predišlo situácii, kedy by sa útočníci mohli o nedostatkoch dozvedieť a potencionálne hodnotné informácie by prakticky vedeli zneužiť.

Zároveň sa poskytnutím presne vyhradeného času na nájdenie riešenia má prispieť k promptnému vyriešeniu nedostatkov, čo je z pohľadu Google praktika zvyšujúca bezpečnosť. Po uplynutí stanovej doby je o zraniteľnosti následne verejne informované.

Microsoft ale upozorňoval, že týmto spôsobom sa spoločnosti často dostávajú do veľkého časového tlaku a nie všetky odhalené zraniteľnosti sa tak dajú v stanovenom termíne vyriešiť do úplnej spokojnosti. Politika tímu Project Zero je taká, že informácie o chybe zverejnia spravidla po uplynutí 90 dní od kedy došlo k jej nahláseniu tvorcom softvéru, a to bez ohľadu na to, či ju stihli opraviť.

Takéto zverejnenie podrobností tak z pohľadu Microsoftu v konečnom dôsledku môže situáciu pre používateľov zhoršiť. Štatistiky zverejnené v polovici tohto roka však ukazovali, že zo 154 odhalených chýb bolo až 85% opravených v lehote 90 dní. Google preto aj napriek kritike naďalej vo svojich zabehnutých praktikách pokračuje. Aktuálne sa ale karta obrátila a  je to práve Microsoft, ktorý upozornil na bezpečnostné nedostatky prehliadača Chrome a pomerne vážne prešľapy spoločnosti Google v tejto súvislosti.

Tím expertov Microsoft Offensive Security Research zverejnil rozsiahle informácie o vážnej zraniteľnosti prítomnej v spomínanom prehliadači, pričom naznačil aj cestu k ich možnému zneužitiu. Problém predstavuje neinicializovaná premenná v Javascrip engine, ktorá útočníkom umožňuje spustiť vlastný kód pri návšteve špeciálne upravených webových stránok. Zneužitie zraniteľnosti by tak mohlo vyústiť minimálne v získanie dát určených pre ostatné stránky, ktoré obeť navštevuje. Google bol o zraniteľnosti v tajnosti informovaný ešte 14. septembra, no  odstránil ju len v beta verzii prehliadača a používatelia produkčnej verzie zostali nechránení ešte takmer mesiac.

Experti Microsoftu v tejto súvislosti zároveň poukázali na vážne prešľapy zo strany spoločnosti Google. Informácie o zraniteľnostiach v prehliadači Chrome sú totiž zverejňované vo verejne prístupných repozitároch zdrojových kódov ešte pred ich reálnym odstránením. Microsoft uviedol prípad, kedy bola zraniteľnosť v zdrojových kódoch týmto spôsobom prezradená takmer mesiac pred tým, ako vyšla opravená verzia prehliadača Chrome.

Na základe zverejnených informácií to teda vyzerá tak, že ani Google nie je v oblasti bezpečnosti vždy úplne dôsledný. Pripomeňme, že len pred pár týždňami bol Microsoft zo strany Google kritizovaný za to, že zistené nedostatky opravuje najskôr vo Windows 10, pričom tým potencionálne znižuje bezpečnosť svojich zvyšných systémov Windows 7 a 8.1.

Zdroj: TheVerge, Microsoft

Tagy : , , ,

  • Mizu

    Google ovcam je to jedno ? ked prisiel w10 s telemetriou tak boli nekonecne clanky a diskusie o tom ako microsoft spehuje a narusuje sukromie ? ale to ze to robi google uz dlhe roky este pred w10 je uplne okej ???

    • mano

      tak tak , a googel cez svoje produkty špehuje ešte omnoho viac, aj preto má dobrý vyhľadávač.