Het Microsoft 365 Defender team heeft in april een belangrijke fout ontdekt in ChromeOS. Google herstelde de bug binnen de week.
Microsoft ontdekte een kritiek lek in Chrome OS van Google. De bug (CVE-2022-2587) was best groot, als gevolg van het gebruik van D-Bus. Dat is een Inter-Process-Communication (IPC)-mechanisme gebruikt in Linux. Volgens Jonathan Bar Or, lid van het Microsoft 365 Defender research team, zorgde het gebruik van een D-Bus service (org.chromium.cras) ervoor dat de functie strcpy werd aangesproken. En die functie zorgt dan weer voor geheugenproblemen.
Bar Or erkent in een rapport, dat afgelopen vrijdag verscheen dat de bug pas echt gevaarlijk kon worden wanneer die gelinkt zou worden aan andere bugs in het systeem. Toch vond Google het belangrijk genoeg om meteen te reageren. Het security team van Google herstelde de bug binnen de week waardoor dit niet tot een zeroday leidde.
lees ook
Waarom je Google Chrome zo snel mogelijk moet updaten
Omgekeerde wereld
Het is eens iets anders, Microsoft dat Google op de vingers tikt over een fout in het OS. Meestal is het andersom. Sinds 2010 maken veiligheidsonderzoekers van Google er een sport van om bugs te vinden in software van Microsoft en andere concurrenten. In juli tikte Project Zero van Google de concurrenten nog op de vingers.
Jonathan Bar Or gaf de concurrentie een pluim voor de snelle reactie. “We danken het team van Google en de Chromium community voor hun inspanningen om dit probleem aan te pakken. De snelheid en de effectiviteit van het proces waren verbazingwekkend.” Bar Or kreeg op zijn beurt bedankingen van het Google’s Vulnerability Rewards Program en een cheque van 25.000 dollar om de bug te onthullen.