Google рассказала об уязвимости в браузере Microsoft Edge до выхода патча Статьи редакции
Компания предупредила разработчиков заранее, но исправления так и не подготовили.
В ноябре 2017 года специалисты Google обнаружили уязвимость в браузере Microsoft Edge, который встроен в систему Windows 10 по умолчанию. Исследователи дали компании 90 дней на исправления ошибки, так как её отнесли к «среднему» уровню угрозы. После этого детали уязвимости пообещали опубликовать в открытом доступе. Об этом сообщает сайт Neowin.
Разработчики не успели подготовить патч вовремя и попросили дать им больше времени. Тогда в Google добавили к трём месяцам ещё две недели, но специалисты Microsoft заявили, что «патч оказался более сложным, чем они думали». Инженер Google отметил, что точная дата исправления этой ошибки до сих пор неизвестна.
Уязвимость в Edge связана с использованием памяти ядра. В феврале 2017 года Microsoft объявила, что будет использовать систему Arbitrary Code Guard (ACG) в браузере. Она изолирует в отдельный процесс компиляторы Just-in-Time (JIT), отвечающие в том числе за обработку JavaScript.
Технически, эта мера была направлена на то, чтобы обезопасить пользователей, но оказалось, что связь между изолированным JIT и основным исполняемым кодом браузера можно скомпрометировать. Уязвимость позволяет создать в памяти исполняемую страницу.
Google уже не впервые публикует информацию об уязвимостях до патчей. Например, в 2016 году компания рассказала о крупной уязвимости в Windows через 10 дней после того, как передала её в Microsoft.
Кроме того, компания часто делает исключения из собственных правил, особенно если дело касается её продуктов. В случае с уязвимостями Meltdown и Spectre инженеры Google обнаружили проблемы с Intel, AMD и другими чипами за полгода до публикации подробностей. Однако ошибки затрагивали устройства на андроиде наряду с остальными.
Ммм лицемерие
Ну, если им настолько похуй на своих клиентов, что за 104 дня ничего не исправили, то Гугл все правильно сделали
Последний абзац статьи специально для тебя написан
Ну и че? Если бы мелкомягкие сами нашли — тоже бы не было претензий.
Ну и лицемерие чё. Когда в своём продукте дыру находят то полгода молчат а когда у микрософта нашли то давайте правьте за 10 дней, не успели за 10 ну ладно так и быть вот вам три месяца, мыж не звери.
А прикрываются заботой о клиенте якобы
Дед, ты бы хоть почитал что уязвимость была там и есть тут. Сравнил блин ошибку в работе с памятью для маргинального браузера для одной системы с ошибкой 70% процессоров за последние лет 15-20.
Ошибка в браузере вообще 100% процессоров касается, и чё?
Нет конечно, потому что браузер заменить стоит 0р. 0коп.
И это ошибка затрагивает ух аж 5% людей на винде, а meltdown 70 по всем
Как количество жертв уязвимости связано со сложностью её исправления?
А кого ебет сложность исправления? Перечитай мой коммент.
Гифон-то обратный получается
- гугл требует от микрософта исправить ошибку за 100 дней а сам гораздо дольше возится
- сравнил блин ошибку в браузере и системе
- и почему ошибку в браузере надо исправлять быстрее?
- потому что браузером пользуется меньше людей
И гораздо меньше людей будет затронуто эксплойтами если вдруг что. При том что решение - поставить не маргинальный браузер. УХ УХ УХ
Чем больше будут проблемы, тем больше "запас терпения" у исследователей уязвимости (плюс какое-то начальное значение).
Ты вроде бы не маленький, а все как роскомпозор
Про незначительные ошибки сразу в багтрекер пишут, не ждя ни сколько. КАК ТАК МОЖЕТ БЫТЬ?
Чем больше ущерб тем больше ресурсов должно быть потрачено на исправление и тем быстрее ошибка должна быть устранена. Ты вроде бы не маленький, а все как роскомпозор
Нет конечно. Тебе 9 женщин 1 ребенка за месяц не родят.
Программы компилируются быстрее чем за 9 месяцев
Если ты такой умный, то почему ты ещё на тж?
Людям похуй умный ты или нет, социальное положение определяется подругому. А я на пенсии
Бля, че ты сам себе противоречишь? Сначала писал, что они нихуя не делали и мерджили с линукса, теперь они "возятся".
Да и ваще, может быть они тогда ждали, пока Майкрософт поправят?
Да, потому что они вообще не выделили ресурсов на разработку ядра, вот и возятся ждут пока им бесплатно патч подгонят
Ну падажи, на линуксе первым патч сделали для x86, причём в основной ветке его 2 числа не было, а Гугл уже отчитывался о фиксе для ARM. Хотя точно не знаю, посмотрю ещё, но мне все же кажется, что патч за авторством гугла как раз.
Да и я ж говорю, может быть они для мелкомягких держали :)
Полгода ждали и не выдержали. Это надо было сделать сразу как только об уязвимости узнали
Да в смысле? Там масштабы немного другие, да и мелкомягким тогда рассказали об уязвимости тоже, они одни из последних исправили.
Ну и потом, для мелкомягких такое похуистическое отношение к багам — нормальная практика. Пока WannaCry в жопу не клюнет... Ну или со скайпом сейчас — висит вполне себе критический баг уже полгода, им хуй класть.
Собственно, в таком случае вопрос: почему Гугл должна ебать неторопливость индусов? Сказали, дали время, дохуя времени, потом выложили. Вполне нормальная в инфосеке практика.
Тоесть у гугла ошибки сложные а у микрософта ошибки тьфу. У гугла директор кстати тоже индус
Так это ж ошибка не гугла была, а в процессорах, лол.
И вообще ошибка в линуксе лол, а гугл своих систем не делает удобненько
При чем тут линукс, дед? Хули Гугл не делает? А кто тогда делает ведро/фуксию/хромось?
Про ту уязвимость рассказали сразу же всем крупным производителям. Эпл выкатила патч еще до того, как все всплыло, мелкомягкие — после, и то через жопу, с третьего раза, сломав дохуя клиентских систем. Что какбэ намекает на их отношение к клиентам в плане обеспечения безопасности их данных. 104-ех дней вполне достаточно для фикса бага в браузере одним из лидеров рынка софта, не?
Ну так они форкнули линукс и мерджат а сами не делают да. Ато бы я их обвинил в том что система у них с монолитным ядром а где тонко там и рвётся.
Какое предвзятое отношение к микрософту ё, для мелтдауна они быстро патч выкатили, это для спектре который непонятно вообще зачем фиксить они закрывали с помощью микрокода интела который корявый был и его потом и откатывали по просьбе собсно интела.
104 дня конечно достаточно и для фикса ядра андроида, но ведь гугл не мог его пофиксить ибо не они его делают
https://source.android.com/security/bulletin/2018-01-01 да ваще, хуи пинают там сидят.
Какое предвзятое отношение к микрософту ёКазалось бы, почему...
У гугла директор кстати тоже индусhttps://tjournal.ru/66356-v-skype-obnaruzhili-kriticheskuyu-uyazvimost-microsoft-ne-speshit-ee-ispravlyat
https://www.rbc.ru/spb_sz/10/09/2012/55929cc29a794719538c4ef7
https://threatpost.ru/microsoft-leaves-windows-7-and-8-vulnerable-says-google/22692/
https://threatpost.ru/microsoft-wont-fix-security-bypass-vulnerability-in-edge/22231/
https://threatpost.com/microsoft-programming-error-is-behind-dangerous-kernel-bug-researchers-claim/127858/
Ну у мелкомягких, судя по качеству работы их поделий, за границами Индии вообще ни строчки кода не написано.
Да и вообще, блядь, Google Project Zero с самого существования работал по правилу «90 дней, потом выкладываем», тут еще и отсрочку дали. Если им хуй класть, то че дальше? В гугле должны вечно ждать?
Так это и есть мердж из ядра линукса в их форк
Казалось бы, почемуПох почему, но ты придираешься
за границами ИндииКак будто в индии хороших кодеров нет и офиса у гугла того же нет
работал по правилу «90 дней, потом выкладываем»Но только не для андроида, для своего кода в правиле можно сделать исключение. Об этом лицемерии мы тут и говорим.
Мердж сделали до того, как код появился в линукс? 1-2 января в основной ветке, по крайней мере, насколько я помню, патча еще не было, а Гугл уже отчитывался.
Собстна, с чего ты взял, что исключение было сделано для андроида? Да и, опять же, масштабы уязвимостей немного разные, не?
Да и потом, че они должны были тогда делать? Через 90 дней баг обнародовать, а потом под аккомпанемент проклятий от других производителей в спешке патчи пилить?
В линуксе это вроде с осени и правят
Они должны были его исправить за 104 дня и не ебёт. Масштаб бага кто будет определять?