Google công bố lỗ hổng bảo mật trên Microsoft Edge

Google công bố lỗ hổng bảo mật trên Microsoft Edge

Theo thông báo của Google (hồi tháng 11/2017), Microsoft có trách nhiệm sửa lỗi này trong vòng 90 ngày trước khi Google công bố nó một cách công khai, thế nhưng công ty có trụ sở ở Redmond vẫn chưa khắc phục được vấn đề sau 90 ngày nên Google đã công bố nó một cách công khai, theo Neowin.

Google công bố lỗ hổng bảo mật trên Microsoft Edge
Lỗ hổng bảo mật (bug) này được phân loại ở mức "Trung bình" và đã được Google đã mách cho Microsoft từ tháng 11 năm ngoái.

Cụ thể, "Project Zero" - Đội đặc nhiệm an ninh mạng của Google, được gã khổng lồ xứ Mountain View (tức Microsoft) giao cho trọng trách tìm kiếm các lỗ hổng bảo mật trong phần mềm do chính họ hoặc các công ty khác phát triển.

Trong năm 2016, các chuyên gia của biệt đội này đã hé lộ một sơ hở nghiêm trọng trên Windows 10 cũng như một lỗi trầm trọng khác - cũng trên hệ điều hành mới nhất dành cho PC của Microsoft, trong năm ngoái.

Và nay, biệt đội này đã vạch trần thêm một lổ hổng an ninh trên trình duyệt Microsoft Edge, sau khi hãng Microsoft liên tục thất bại trong việc vá lỗi.

Liên quan đến vụ việc, hồi đầu tháng 2/2017, Microsoft từng tuyên bố họ sẽ sử dụng Arbitrary Code Guard (ACG) trong Microsoft Edge, với bản cập nhật Windows 10 Creators Update để giảm thiểu việc thực hiện mã độc hại.

Mặc dù vậy, hầu hết trình duyệt web hiện tại vẫn dựa vào trình biên dịch Just-in-Time (JIT) và điều này đã tạo ra các vấn đề với ACG, buộc Microsoft phải chuyển đổi chức năng JIT của Chakra thành một trình riêng biệt, chạy trong sandbox bị cô lập. Tuy nhiên, "Đây là một công việc không hề đơn giản", đại diện của hãng này cho biết.

Nhưng các nhà nghiên cứu an ninh mạng của Google đã có thể vượt qua ACG và tạo ra một trang thực thi trong bộ nhớ.

Điều đáng nói là bug này chỉ được đánh giá ở mức nguy hiểm "trung bình" và Google đã "mách" cho Microsoft từ hồi tháng 11/2017, đồng thời yêu cầu Microsoft có trách nhiệm sửa lỗi này trong 90 ngày, nếu không Google sẽ công bố nó một cách công khai.

Trung tâm An ninh của Microsoft (MSRC) nhận định, "vấn đề phức tạp hơn họ tưởng", nên họ đã được Google cho thêm 14 ngày. Thế nhưng họ vẫn không hoàn thành việc khắc phục sự cố trong bản vá tháng 2 nên Google buộc phải công bố lỗi trên.

Về phía mình, Microsoft tự tin rằng họ sẽ giải quyết được nó trong bản cập nhật phần mềm mới nhất vào tháng 3 tới, dự kiến sẽ ra mắt ngày 13/3. 

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống

Nguồn tin:

 

Tham gia bình luận