Google gunt Microsoft geen tijd om bug op te lossen
Onderzoekers van Google hebben een bug ontdekt in Edge. Het bedrijf waarschuwde Microsoft, maar die slaagt er niet in het lek te dichten voor Google de details publiek maakt.
Het probleem zit hem in de Edge Browser in Windows 10 en specifiek in de Arbitrary Code Guard (ACG). Die moet voorkomen dat malafide JavaScript code kan worden uitgevoerd in de JIT-compiler.
Google ontdekte dat het mogelijk is om ACG te omzeilen. Daarbij kan een hacker voorspellen welke ruimte in het geheugen wordt gebruikt en die ruimte vervolgens voorzien van eigen code om Edge dingen te laten uitvoeren.
Google volgt in eerste instantie de algemene spelregels: het waarschuwde Microsoft in november met de melding dat de bug na 90 dagen openbaar zou worden gemaakt. Het bedrijf deed daar nog 14 dagen bij. Vorige week liet Microsoft echter weten dat het lastiger dan gedacht blijkt om het probleem op te lossen. Vermoedelijk zal het probleem pas tegen 13 maart worden opgelost.
Omdat de deadline is verstreken heeft Google een vrij uitgebreide technische uitleg gepost over het probleem. Daardoor vergroot de kans dan hackers het lek proberen te misbruiken in afwachting van een oplossing.
Google heeft zich aan de afspraken gehouden en 90 dagen is algemeen beschouwd een redelijke termijn. Maar het is niet de eerste keer dat het bedrijf Microsoft in snelheid pakt door een niet-opgeloste fout na verloop van tijd publiek te maken.
Maar tegelijk wijst The Register er op dat Google soms geduldiger is met andere partijen. Zo wist het in juni 2017 al van de cpu-bugs Meltdown en Spectre, maar wachtte het tot januari om het probleem wereldkundig te maken. We kunnen ons dus afvragen of Google enkel de deadlines (die het zelf oplegt) volgt en Microsoft zo wil dwingen om sneller te werken. Of dat het de bug gebruikt om een concurrent met de billen bloot te krijgen.
Fout opgemerkt of meer nieuws? Meld het hier