係統粉 > IT資訊 > 微軟資訊

開戰?微軟以牙還牙揭露Chrome漏洞,還拿到1.5萬美金獎勵

發布時間:2017-10-20    瀏覽數:

開戰?微軟以牙還牙揭露Chrome漏洞,還拿到1.5萬美金獎勵(1)

軟於本周三(10/18)公布了一藏匿在Google Chrome瀏覽器的安全漏洞,編號為CVE-2017-5121為一遠端程式執行(Remote Code Execution,RCE)漏洞,指出強調沙箱安全政策對於Chrome的安全性來說並不足夠,同時批評Google的修補程序有瑕疵。

外界紛紛將微軟此舉視為是「以其人之道還治其身」的作法。Google的抓蟲團隊Project Zero多次公布微軟產品的安全漏洞,其中更有幾次是在微軟尚未修補前公開,雙方還曾為此隔空交戰。本月初,Project Zero亦抨擊微軟的修補措施有問題,指出微軟經常優先修補最新作業係統的安全漏洞,駭客便可藉由程式碼的比對找出舊版Windows中的同樣漏洞並伺機攻擊。

微軟的「反擊」是以自行開發的漏洞檢查工具ExprGen來檢驗Chrome瀏覽器所使用的V8 JavaScript引擎,發現了CVE-2017-5121與其他臭蟲,還打造了開采CVE-2017-5121漏洞的攻擊程式,並於今年9月14日將它們提交給Google,總計獲得Google所頒發的15837美元抓漏獎金,其中,光是CVE-2017-5121漏洞的獎金便占了7500美元。Google已於9月中旬釋出的Chrome 61修補了相關漏洞。

微軟表示,Chrome相關缺乏RCE的防範機製,意味著從記憶體損壞臭蟲到遠端執行程式漏洞的路徑可能很短,且於沙箱內的多種安全檢查讓RCE攻擊程式得以繞過同源政策,以便存取受害者正執行的網路服務或儲存相關憑證。

微軟同樣也批評了Google的修補政策,指出Google先將修補程式上傳至GitHub的V8專案,再於3天後修補Chromium專案與Chrome瀏覽器,而這短短的幾天已足以讓駭客取得漏洞資訊、打造開采程式並發動攻擊。

盡管多數人都認為微軟是在對Google還以顏色,但雙方在抓漏上的競爭也將替使用者創造更安全的數位環境。

上一篇:GCC一周報|微軟MR頭顯開售;最強AI怪獸誕生;IBM Q3 財報優 下一篇:微軟小冰 diss 傳統虛擬歌姬: 一場“本無必要”的鬧劇

相關資訊

最新熱門應用

電腦問答