Эксперты по кибербезопасности Google публично раскрыли уязвимость в браузере Edge, прежде чем компания-разработчик Microsoft успела её устранить.
Специалисты Google Project Zero уведомили коллег о “дыре” в ноябре прошлого года, дав им 90 дней на релиз “заплатки”.
Поисковик также предоставил дополнительные 14 дней на то, чтобы Microsoft смогла выпустить исправление в рамках ежемесячного “вторника патчей”. Однако инженеры не уложились в срок, поскольку ошибка, по их словам, “оказалась более сложной, чем изначально предполагалось”. В Google посчитали причину не слишком весомой и решили обнародовать узявимость.
В Google придерживаются очень агрессивной политики относительно раскрытия информации о “дырах” в программном обеспечении. Например, в 2015-м году, после того как разработчик Windows не исправил в 90-дневный срок опасную ошибку в Windows 8.1, поисковик выставил её напоказ — до того, как конкурент успел выпустить патч.
При этом поисковик может рассказать об уязвимости в ПО и раньше — если выяснится, что она активно эксплуатируется злоумышленниками. Так Google поступила в 2016-м, обнародовав критическую ошибку в Windows всего через 10 дней после того, как об этом стало известно Microsoft.
В конце прошлого года программисты Microsoft ответили тем же, раскрыв информацию об RCE-уязвимости в Chrome, которая позволяла киберпреступникам удаленно исполнять в браузере произвольный код. Google практически сразу залатала “дыру” в бета-версии браузера и выложила исправленный код в репозиторий на GitHub, однако в стабильной версии приложения она оставалась неустраненной на протяжении месяца.
В результате у хакеров было достаточно времени, чтобы изучить “заплатку” CVE-2017-5121 и совершить атаку на пользователей Chrome. В Microsoft подчеркнули, что поисковику не следовало раскрывать детали ошибки до того, как она будет исправлена в публичной версии.