RSS канал
Очень долго компания не докладывала об уязвимости, но в Microsoft не успели ее исправить, пишет The Verge.
В рамках проекта Project Zero Google поручает инженерам искать недочеты в программных продуктах, разработанных как самой Google, так и компаниями-конкурентами.
Уязвимость отыскали осенью и уведомили об этом уполномоченных Microsoft. Более того, Google даже дала Microsoft дополнительные две недели, чтобы включить исправление уязвимости в ежемесячные накопительные обновления. Дата исправления вплоть до этого времени неведома. Новая технология призвана надёжно перекрыть потенциальному хакеру возможность загрузить в память ПК неподписанный код при использовании браузера. Однако в указанный срок Microsoft исправить уязвимость не смогла, в связи с чем Google предоставила дополнительные 14 дней, за которые патч также не был выпущен.
Нечего и говорить, что такой ход разозлит Microsoft. Это дало полное право разместить информацию о проблеме в глобальной паутине. Также Microsoft открыто раскритиковала подход Google к политике обнародования похожей информации. По правилам Project Zero, на ее устранение дается строчек в 90 дней. Публикация появилась в глобальной сети еще до официального релиза нового патча. Она скрывается в браузере Edge. И за последние годы у данной пары был далеко не один серьезный разговор на тему раскрытия уязвимостей в безопасности продуктов. После данного времени создатели публикуют описание проблемы.
Работники Project Zero в Google занимаются поиском уязвимостей в продуктах остальных компаний, и временами попадают в новости благодаря этому.