Эксперты по кибербезопасности Google публично раскрыли уязвимость в браузере Edge, прежде чем компания-разработчик Microsoft успела её устранить.
Специалисты Google Project Zero уведомили коллег о «дыре» в ноябре прошлого года, дав им 90 дней на релиз «заплатки».
Поисковик также предоставил дополнительные 14 дней на то, чтобы Microsoft смогла выпустить исправление в рамках ежемесячного «вторника патчей». Однако инженеры не уложились в срок, поскольку ошибка, по их словам, «оказалась более сложной, чем изначально предполагалось». В Google посчитали причину не слишком весомой и решили обнародовать узявимость.
В Google придерживаются очень агрессивной политики относительно раскрытия информации о «дырах» в программном обеспечении. Например, в 2015-м году, после того как разработчик Windows не исправил в 90-дневный срок опасную ошибку в Windows 8.1, поисковик выставил её напоказ — до того, как конкурент успел выпустить патч.
При этом поисковик может рассказать об уязвимости в ПО и раньше — если выяснится, что она активно эксплуатируется злоумышленниками. Так Google поступила в 2016-м, обнародовав критическую ошибку в Windows всего через 10 дней после того, как об этом стало известно Microsoft.
В конце прошлого года программисты Microsoft ответили тем же, раскрыв информацию об RCE-уязвимости в Chrome, которая позволяла киберпреступникам удаленно исполнять в браузере произвольный код. Google практически сразу залатала «дыру» в бета-версии браузера и выложила исправленный код в репозиторий на GitHub, однако в стабильной версии приложения она оставалась неустраненной на протяжении месяца.
В результате у хакеров было достаточно времени, чтобы изучить «заплатку» CVE-2017-5121 и совершить атаку на пользователей Chrome. В Microsoft подчеркнули, что поисковику не следовало раскрывать детали ошибки до того, как она будет исправлена в публичной версии.