Microsoft varslet nylig Google om en alvorlig sårbarhet i JavaScript-motoren V8 som benyttes av Chrome. Feilen var rettet i kildekoden allerede etter fire dager, noe Jordan Rabet i Microsoft Offensive Security Research-team skriver at er imponerende. Men han er ikke like imponert over hvordan Google rullet ut feilfiksen.
Det Google nemlig gjorde, var å gjøre rettelsen i kildekoden tilgjengelig i selskapets offentlige Github-repositorium tre dager før den oppdaterte Chrome-utgaven ble gjort tilgjengelig for brukerne.
Ikke store faren, denne gang
Rabet medgir at akkurat denne kildekodeendringen ikke umiddelbart avslører hva som var sårbarheten, så viser han til et tidligere tilfelle hvor kildekoden til feilfiksen gjorde det innlysende hva som var sårbarheten. I tillegg tok det den gang nesten en måned fra den offentlig tilgjengelige kildekoden ble oppdatert til at oppdatering nådde den stabile utgaven av Chrome.
– Dette er mer enn nok tid for at en angriper skal kunne utnytte den, skriver Rabet.
Også Microsoft gir ut noen av komponentene til selskapets nettleser, Edge, som åpen kildekode. Dette inkluderer Chakra-motoren.
– Fordi vi mener at det er viktig å levere sikkerhetsoppdateringer til kunder før vi gjør dem offentlig kjente, oppdaterer vi bare git-repositoriet til Chakra etter at patchen har blitt levert, skriver Rabet.
Til en viss grad kan dette bli oppfattet som en del av knivingen mellom sikkerhetsavdelinger hos Microsoft og Google. Sistnevntes Project Zero, som riktignok har en veldig fri rolle hos Google, har en rekke ganger funnet sårbarheter i Microsofts programvaren, og i noen tilfeller har prosjektet offentliggjort sårbarhetsdetaljene før Microsoft har kommet med en sikkerhetsfiks.
Project Zero har forsvart dette med at det er velkjent at de vil gå ut med detaljene om sårbarheten senest 90 dager etter at leverandøren av det sårbare produktet har blitt varslet.
Eksempelvis: Offentliggjorde Windows-sårbarhet som Microsoft trolig har utsatt å fjerne
