Microsoft e Google hanno avuto avuto diversi disaccordi sulle tempistiche della divulgazione delle vulnerabilità di sicurezza negli ultimi anni. Neowin ha riportato che Project Zero, il team di Google che si occupa di sicurezza, ha svelato una nuova vulnerabilità di Edge, il browser di Windows 10. Il team di Google, in realtà, aveva individuato la falla già lo scorso novembre, ma aveva dato alla casa di Redmond 90 giorni per chiuderla visto che si trattava di un problema di media rilevanza.
Google aveva concesso a Microsoft anche ulteriori 14 giorni di tempo per permettere al gigante del software di distribuire il correttivo all’interno dello scorso Patch Tuesday di febbraio 2018. Microsoft, però, ha mancato l’obiettivo in quanto la risoluzione del problema si sarebbe rivelata più difficile del previsto. Non esisterebbe nemmeno una timeline certa per la distribuzione di questo correttivo. Il team di Project Zero spiega, infatti, che proprio a causa della complessità del lavoro da fare, la casa di Redmond non è riuscita a fissare alcuna scadenza. Nonostante le difficoltà, essendo scaduto il tempo limite concesso, Project Zero ha diffuso pubblicamente l’esistenza di questa vulnerabilità del browser Edge.
La divulgazione pubblica probabilmente farà arrabbiare Microsoft, ancora una volta. Il gigante del software aveva criticato fortemente le politiche di Google in merito alla divulgazione delle falle di sicurezza. Google, infatti, aveva rivelato pubblicamente l’esistenza di una grave vulnerabilità in Windows nel 2016, solamente 10 giorno dopo averla segnalata alla casa di Redmond. Big G, infatti, punta a voler spingere le grandi aziende a seguire le sue aggressive politiche di divulgazione. Microsoft, invece, continua a non voler seguire questa strada ed anzi, ha più volte dichiarato di voler seguire una sentiero ben più sicuro. Per esempio, lo scorso ottobre Microsoft ha reso nota l’esistenza di un bug nel browser Chrome i cui dettagli sono stati comunicati pubblicamente solo dopo che il correttivo fu rilasciato.
Sebbene la nuova vulnerabilità di Edge resa pubblica da Project Zero non sia così grave, sicuramente riaccenderà nuovamente le polemiche tra le due società.
Per quanto riguarda la vulnerabilità, il problema riguarderebbe il compilatore Javascript “Just In Time” che non è protetto dall’Arbitrary Code Guard (ACG) nel browser.