Google afslører sikkerhedsfejl i Edge: Der er ingen patch klar

Illustration: g0d4ather, BigStock
Efter at have fundet et sikkerhedshul, underrettet det til Microsoft og ventet tre måneder afslører Google nu, at Edge har et sikkerhedsproblem. Selvom Microsoft har kendt til problemet i tre måneder, er der ikke en opdatering klar til at rette fejlen.

Googles ansatte opdagede tilbage i november 2017 en sikkerhedsfejl i Microsoft Edge.

Som kutymen er på området, gjorde Googles medarbejdere Microsoft opmærksomme på problemet - og holdt det hemmeligt i tre måneder, skriver The Verge.

Læs også: Microsoft bygger end-to-end-kryptering ind i Skype med Signal-protokol

Udover de tre måneder fik Microsoft også lige to uger ekstra i håb om, at der ville komme en patch i februar-opdateringen, men det gjorde der ikke - og derfor fortæller Googles ansatte nu om det, selvom der ikke er en patch klar.

Microsoft forklarer, ifølge The Verge, at »the fix is more complex than initially anticipated«, hvilket forklarer, hvorfor patchen ikke er blevet klar. Det lover dog samtidig heller ikke noget om, hvornår sikkerhedshullet bliver lukket.

Kamp mellem giganter

Google og Microsoft forsøger altså på den ene side at opretholde reglerne på området, men har en historik for at stikke hinanden, så snart de kan slippe af sted med det.

Læs også: Datatilsynet efter tre år: Kommune må godt bruge Google til folkeskole-administration

I oktober 2017 angreb Microsoft nemlig Google for sin måde at håndtere sikkerhedspatches på - og det her kunne godt se ud, som om Google vil have hævn.

De tre måneder er nemlig en regel med mange modifikationer. Hvis Googles ansatte havde fundet et sikkerhedshul, der allerede nu blev misbrugt, så kunne de nemlig have afsløret det før - så spørgsmålet er, hvad formålet er med at fortælle om hullet, inden en patch er klar til at lukke det.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
Robert Winther

spørgsmålet er, hvad formålet er bag at fortælle om hullet, inden en patch er klar til at lukke det

Formålet er vel primært at lægge pres på Microsoft for at få dem til at lukke hullet. 90 dage burde være tid nok til at lukke et sikkerhedshul.

I modsætning til et sikkerhedshul i et operativsystem (eller en processor) er det nemt for folk at skifte til en anden browser, indtil sikkerhedshullet bliver lukket, og det bør man vel give folk mulighed for, inden hackere også finder hullet før det bliver lukket.

Rune Larsen

Det er i forbrugernes interesse, at softwareproducenter retter sikkerhedsfejl hurtigt. Når de ikke formår det, bør vi som minimum have ret til at blive oplyst om kendte huller, så vi kan træffe et oplyst valg, om vi vil blive ved med at bruge omtalte software - eller skifte til andet programmel.

Risikoen for, at ondsindede personer finder finder og udnytter samme hul, stiger for hver dag der går uden en patch.

Jakob Damkjær

De tre måneder er bare det figenblad de skuler det bag...

Eller de regler alle er blevet enige om at den konflikt der er om browser markedet. Hver gang google frigiver en sårbarhed i Edge eller whatevre er der folk der ikke har instaleret Chrome der går ud og installere Chrome... og det er den motivation de har for at finde sårbarheder. Gør det os mere sikre... formentligt men samtidigt kan de informationer som google frigiver bruges til at udvikle malware... så der er en etisk mørkegråhed ved at frigive det når der ikke er en patch... lidt ligsom hvis en forsker der arbejder med at beskytte mod biologiske våben udgav det komplette gensekvens for den spanske syge... eller gør opmærksom på at store dele af menneskeheden er sårbar overfor en specifik kombination af influenza virus typer...

Den forsker slår ikke nogen ihjel direkte... men hvis der er nogen der benytter den viden han/hun har gjort tilgængeligt til at udvikle et forfærdeligt biovåben og slipper det fri i et par storbyer så er der ikke så meget tvivl om at det er etisk problematisk hvad den forsker gjorde uanset hvilken motivation de handlede ud fra...

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017