Microsoft-Team konnte endlich auch mal eine Chrome-Lücke melden

Microsoft hat es endlich geschafft, sich bei Google für die Veröffentlichung von Sicherheitsproblemen zu revanchieren. Aus Redmond kamen jetzt Hinweise zu einer recht problematischen Schwachstelle im Chrome-Browser, die das Einschleusen fremder Codes ermöglichte. Google hatte in der Vergangenheit bereits mehrfach Sicherheitslücken in Microsoft-Produkten ausfindig gemacht. Hierfür zeichnete sich meist das Project Zero verantwortlich, das gnadenlos nach drei Monaten alle Informationen öffentlich machte - teilweise auch kurz bevor Microsoft am Patch Day ein passendes Update bereitstellte.

Entsprechend glücklich dürfte man in Redmond nun gewesen sein, als das eigene Offensive Security Research (OSR)-Team eine Schwachstelle im Chrome entdeckte. Auf die leichte Schulter sollte diese auf keinen Fall genommen werden. Denn sie hatte durchaus das Potenzial, dass die untergejubelten Schadcodes auch aus ihrer Sandbox ausbrechen und verschiedene andere Online-Services, auf die der Anwender mit dem Browser zugreift, ausspionieren.

Google will Belohnung schicken

Zur Schadenfreude dürfte auch die Tatsache beigetragen haben, dass die Schwachstelle mit einem Verfahren entdeckt wurde, das die Sicherheitsforscher Googles sonst selbst anwenden. Zentrales Element hierbei ist ein JavaScript-Fuzzer, der vom Entwickler-Team hinter Googles eigener Chakra-Engine geschrieben wurde.

Bei Google trug man die Sache letztlich mit Fassung. Es dauerte nur vier Tage, bis man nach dem Eingang der ersten Microsoft-Hinweise einen Patch veröffentlicht und über das Update-System des Chrome ausgespielt hatte. Über das Bug Bounty-Programm wollte man Microsofts OSR-Team eine Belohnung in Höhe von 15.837 Dollar zukommen lassen - man einigte sich hier allerdings darauf, den Betrag einem Bildungs-Projekt zu spenden. Die Microsoft-Entwickler entschieden sich hier für das Denise Louie Education Center in Seattle.

Download Chrome - Webbrowser von Google