Η Microsoft αποκαλύπτει προβλήματα ασφαλείας στον Google Chrome

[parsifal]

Στο παρελθόν, η δημόσια αποκάλυψη προβλημάτων ασφαλείας σε προϊόντα της Microsoft από τη Google εαποτέλεσε πεδίο αντιπαραθέσεων μεταξύ των δύο εταιρειών, με την πρώτη να ισχυρίζεται πως τίθενται σε κίνδυνο οι πελάτες της και ότι δεν της δινόταν επακρής χρόνος για διορθώσεις και τη δεύτερη να απαντά πως δινόταν πάρα πολύς χρόνος πριν τη δημόσια ανακοίνωση και η Microsoft ήταν αυτή που καθυστερούσε χαρακτηριστικά στην επίλυση των προβλημάτων.

 

Τώρα φαίνεται πως η Microsoft προσπαθεί να απαντήσει με το ίδιο νόμισμα. Εγκαινιάζοντας τη νέα της πολιτική σχετικά με την αποκάλυψη αδυναμιών σε προϊόντα τρίτων, εξέδωσε δύο αναφορές ασφαλείας που αφορούν software της Google. Πιο συγκεκριμένα, τον browser Chrome, για τον οποίον η κατασκευάστρια υποστηρίζει πως η μέθοδος sandboxing που χρησιμοποιεί συμβάλλει στη μεγαλύτερη ασφάλεια των χρηστών σε σχέση με την χρήση άλλων browsers όπως ο Internet Explorer.

 

Η αναφορά MSVR11-002 κάνει λόγο για πρόβλημα «στην HTML5 υλοποίηση των Chrome και Opera που θα μπορούσε να επιτρέψει την αποκάλυψη πληροφοριών». Πιο συγκεκριμένα, το πρόβλημα αφορά την ασφάλεια των στοιχειών canvas, στην περίπτωση των οποίων θα μπορούσε να συμβεί διαρροή πληροφορίας αν scripts συγκεκριμένης προέλευσης μπορούν να προσπελάσουν πληροφορίες που έχουν διαφορετική προέλευση. Η αναφορά MSVR11-001 επισημαίνει μία αδυναμία που «θα μπορούσε πιθανόν να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα μέσα στο sandbox». Η Microsoft ισχυρίζεται ότι προκαλείται από τον τρόπο που ο Chrome προσπαθεί να αναφερθεί σε κομμάτι μνήμης που έχει αποδεσμευτεί και οτι «ένας επιτιθέμενος θα μπορούσε να εκμεταλλευτεί την αδυναμία ώστε να σταματήσει την απόκριση του browser ή να προκαλέσει απρόσμενο τερματισμό του, επιτρέποντας την εκτέλεση κώδικα στο sandbox του Google Chrome».

 

Αμφότερες οι αδυναμίες είναι χαμηλού κινδύνου. Για παράδειγμα, η πρώτη απαιτεί ο επιτιθέμενος «να γνωρίζει τη διεύθυνση IP του δικτυακού πόρου που περιέχει τις προσωπικές πληροφορίες». Και στην περίπτωση της δεύτερης, «η επιτυχής εκμετάλλευση της αδυναμίας δεν επιτρέπει σε κακόβουλο κώδικα να εκτελεστεί εκτός των πλαισίων του Chrome sandbox, το οποίο είναι απομονωμένο από το τοπικό σύστημα αρχείων όσον αφορά αναγνώσεις και εγγραφές, όμως άλλου είδους επιθέσεις ίσως είναι πιθανές».

 

Η Microsoft κάνει σαφές στις αναφορές ασφαλείας που εξέδωσε ότι συζήτησε τα προβλήματα αυτά με τη Google πριν από τη δημόσια ανακοίνωση και πρακτικά ομολογεί πως η τελευταία έχει ήδη διορθώσει τα συγκεκριμένα προβλήματα. Σύμφωνα με εκπρόσωπο της Google «τα θέματα αυτά στην πραγματικότητα είναι πολύ παλιά» και αναφέρθηκαν σε ανακοινώσεις της εταιρείας τους μήνες Σεπτέμβριο και Δεκέμβριο. Από αυτήν την άποψη, οι αναφορές ασφαλείας δεν είναι τίποτα το συνταρακτικό. Ενδιαφέρον όμως παρουσιάζει το γεγονός ότι μετά από χρόνια που η Microsoft βρισκόταν αμυνόμενη έναντι ερευνητών ασφαλείας που αποκάλυπταν τρύπες στα προϊόντα της, τώρα περνά η ίδια στην επιθέση. Σε κάθε περίπτωση, η Microsoft προχωρά προσεκτικά και υπαγορεύει πρότυπα στους εργαζομένους της σχετικά με την αναφορά τέτοιων αδυναμιών, όπως στον τρόπο που θα πρέπει να τις αναφέρουν και ότι θα πρέπει να περιμένουν να διορθωθούν πριν να τις ανακοινώσουν δημόσια. Σε αντίθεση για παράδειγμα με τους ερευνητές ασφαλείας της Google που φαίνεται να δρουν κατά μόνας και χωρίς ανάμειξη προϊσταμένων τους.

 

 

Site: PCWorld

Site: Computerworld

[MiJKa]

Τείνω να πιστεύω, στην προκειμένη, την Google, παρά τη Microsoft. Ως κι αν έχει, η πρώτη σπεύδει, εν γένει, να διορθώσει τα τυχόντα προβλήματά της, ενώ η δεύτερη τα διαιονίζει, υποστηρίζοντας σε σημείο γραφικότητας το δίκιο της. (Κοντός ψαλμός αλληλούια, ας καταφέρει η Microsoft να υλοποιήσει σωστά τα div tags του border και του padding, που κυμαίνονται ΠΟΣΑ χρόνια στο web design ή, για παράδειγμα, να υιοθετήσει, επιτέλους τα border-margins, μπας και εκσυγχρονιστεί ο IE σε επίπεδο, αν μή τί άλλο, να συμβαδίζει με τα υπόλοιπα browser που κυκλοφορούν εκεί έξω και ΜΕΤΑ, ύστερα από λίγο ψάξιμο, να κοιτάξω τα ενδεχόμενα σφάλματα των συναγονιστών της... Για όνομα, δηλαδή... ).

[andr3as]

...ενώ η δεύτερη τα διαιωνίζει,...

Η Microsoft είναι σαν το δημόσιο, η οι υπάλληλοι της δεν τα φτιάχνουν όλα για να μην μείνουν από δουλειά...

[mariosk89]

χαχαχαχα.μιλάει και o browser της μιας εβδομάδας (ΙΕ)

[erevos_csd]

ΙΕ is for loosers :devil:

 

Την τρέλα μου, γιατί όταν πατάω κάτι στον ΙΕ, πρέπει να ακούγεται αυτό το κλικ-κλικ που ακούγεται όταν ανοίγεις φακέλους του δίσκου;

[hyperspaced]

Μια ευγενική χειρονομία της Μ$ προς τη Google. Είμαι σίγουρος ότι αν επιστρέψει τη χειρονομία η Google θα πέσει πολύ γέλιο!

[gnsX]

Εμένα μ αρέσει αυτή η κόντρα,όφελος για τους χρήστες είναι,ξεμαλλιαστείτε

[kinq1]

Φτιάξανε όλα τα δικά τους προβλήματα ασφαλείας και, μια και δεν είχαν τι άλλο να κάνουνε, αρχίσανε να ψάχνουν τα προβλήματα ασφαλείας των αλλωνών.

[gnsX]

Γιατί σας ενοχλεί τόσο;Η Google δλδ έφτιαξε όλα τα δικά της προβλήματα ασφαλείας και μια και δεν είχε τι άλλο να κάνει άρχισε να ψάχνει προβλήματα ασφαλείας των αλλωνών;

 

bugs υπάρχουν,το να βγαίνουν στην φόρα είναι καλό,ας το συνεχίσει η Google,το όφελος για τους χρήστες θα είναι μεγάλο αν μεγαλώσει αυτή η κόντρα

[weber122]

όπως είπατε, αυτός ο ανταγωνισμός είναι προς όφελος μας αν και ο ΙΕ είναι για τα μπάζα, ποτέ δεν το συμπάθησα

[Eversor]

Πλάκα έχει.

Net drama

[Bourdoulas]

Ίσως αυτή η κόντρα τους πεισμώσει και να είναι πιο προσεχτικοί στο μέλλον.

[Skylined]

γιατί όταν πατάω κάτι στον ΙΕ, πρέπει να ακούγεται αυτό το κλικ-κλικ που ακούγεται όταν ανοίγεις φακέλους του δίσκου;

μπορείς να το απενεργοποιήσεις από τα settings, sounds κάπου εκεί πέρα θα το βρεις

[Thresh]

ΙΕ is for loosers :devil:

 

ναι όπως και όσοι έχουν κάτι λιγότερο από Intel Core i7 990X...

[georginiogr]

Στο σπίτι του κρεμασμένου, δεν μιλάνε για σχοινί.