Google раскрыла уязвимости в ПО Microsoft до появления патча

Google снова раскрыла уязвимости в ПО Microsoft до того, как компания выпустила патч. Microsoft изо всех сил пытается решить эту проблему.

Уязвимость влияет на динамическую компиляцию (JIT), используемую браузером Microsoft Edge при запуске JavaScript. JIT позволяет предугадать необходимый объем используемой памяти. Если злоумышленник знает об этом, он может поместить туда свой собственный код и забавляться тем, как Edge выполняет его команды странице.

Новость об уязвимости была опубликована в Project Zero 17 ноября 2017 года с обычным предупреждением о том, что подробности раскроют через 90-дней.

Позднее Google предоставил Microsoft дополнительные 14 дней.

Недавно появилось сообщение от Microsoft о том, что проблема оказалась более сложной, чем предполагалось ранее, и высока вероятность, что компания не сможет в срок выпустить патч.

Как результат каждый может увидеть статью от Google, где подробно описан этот недостаток.

Это не первый раз, когда Project Zero раскрыл уязвимости до того, как Microsoft смогла их исправить.

Например, в октябре 2017 года Microsoft критиковала Google за то, что раскрытие информации может угрожать пользователям.

Также стоит отметить поведение Google в отношении уязвимостей Meltdown / Spectre. Так, в этом случае, компания указала на проблемы в июне 2017 года, однако не описывала их до января 2018 года.