Het komt geregeld voor dat onderzoekers van Google Project Zero kwetsbaarheden in de producten van onder andere Microsoft vinden, maar onderzoekers van Microsoft hebben op hun beurt een kwetsbaarheid in Google Chrome gevonden. Om gebruikers te beschermen richt Google Chrome zich op het hebben van een sterke sandbox, wat de impact van kwetsbaarheden beperkt. Een aanvaller moet naast een kwetsbaarheid in Chrome ook uit de sandbox zien te breken.
Microsoft wilde kijken hoe Chrome presteert in het geval van een enkele kwetsbaarheid waardoor een aanvaller op afstand code kan uitvoeren en of het hebben van een sterke sandbox voldoende is om een browser veilig te maken. Het onderzoek van Microsoft volgt op onderzoek van Google-engineer Justin Schuh begin dit jaar. Schuh besloot de veiligheid van Edge en Chrome met elkaar te vergelijken. De engineer kwam tot de conclusie dat Microsoft veel investeert in het voorkomen dat aanvallers aan de 'voorkant' willekeurige code kunnen uitvoeren. Google richt zich juist meer op het isoleren tijdens het surfen, om zo de impact van een aanval te beperken.
Ook Microsoft komt tot een dergelijke conclusie. Doordat Chrome relatief weinig bescherming biedt tegen zogeheten remote code execution (RCE)-kwetsbaarheden is er weinig werk vereist om aan de hand van een geheugenbug een exploit te ontwikkelen. Doordat de Chrome-sandbox verschillende veiligheidscontroles uitvoert kan een RCE-exploit onder andere de Same Origin Policy (SOP) omzeilen, waardoor een aanvaller toegang tot de online diensten van de gebruiker krijgt, zoals e-mail, documenten en banksessies, alsmede opgeslagen inloggegevens.
Microsoft stelt dat het vanwege dit soort kwetsbaarheden de producten op alle fronten beveiligt. "Met Microsoft Edge verbeteren we zowel de technologie om te isoleren en maken remote code execution lastiger", aldus Jordan Rabet van het Microsoft Offensive Security Research team. Rabet merkt ook op dat Google werkt aan een isoleringsfeature die Chrome beter bestand tegen bepaalde RCE-aanvallen moet maken. Google werd op 14 september door Microsoft over de kwetsbaarheid ingelicht en had vier dagen later een update klaarstaan.
Wel waarschuwt Microsoft dat de manier waarop Google Chrome patches verwerkt een risico voor gebruikers is. De broncode van de update werd namelijk beschikbaar gemaakt via GitHub, terwijl de update nog niet onder gebruikers was uitgerold. Microsoft ontving voor de kwetsbaarheid 7500 dollar. Voor een aantal andere bugs ontving de softwaregigant ook nog eens ruim 7500 dollar. Het geld wordt door Microsoft aan een goed doel gedoneerd. "Onze strategieën verschillen misschien, maar we geloven in samenwerken met de hele security-industrie om klanten te beschermen", besluit Rabet.
Deze posting is gelocked. Reageren is niet meer mogelijk.