Как известно, компания Google часто упрекает Microsoft в наличии критических уязвимостей в ее продуктах, выставляя упущения конкурента на показ. Теперь же инженеры Microsoft решили взять реванш. С этой целью они обнародовали информацию об RCE-уязвимости в Chrome, позволявшей злоумышленникам удаленно исполнять в браузере произвольный код. Google отреагировала довольно оперативно, закрыв «дыру» в бета-версии браузера и выложила исправленный код в репозиторий на GitHub. Впрочем, как указанно в блоге Windows Security, в стабильной версии приложения проблема не устранялась почти целый месяц.
Такой промежуток времени дал возможность киберпреступникам изучить «заплатку» CVE-2017-5121, после чего совершить атаку на пользователей Chrome. Как отметили в Microsoft, для Google было весьма опрометчиво раскрывать детали ошибки прежде, чем она будет исправлена в публичной версии.
RCE-уязвимость в Chrome была обнаружена еще 14 сентября. В качестве поощрения Google выплатила Microsoft $7500, тогда как общая сумма вознаграждения для конкурента за эту и прочие найденные ошибки составила $15 837. Эти средства пойдут на благотворительность.
UAevent